Generación de un token de autenticación en Amazon Aurora DSQL
Para conectarse a Amazon Aurora DSQL con un cliente de SQL, genere un token de autenticación para utilizarlo como contraseña. Este token se usa solo para autenticar la conexión. Una vez establecida la conexión, esta sigue siendo válida incluso si el token de autenticación caduca.
Si crea un token de autenticación mediante la consola de AWS, el token caduca automáticamente en una hora de forma predeterminada. Si utiliza la AWS CLI o los SDK para crear el token, el tiempo predeterminado es de 15 minutos. La duración máxima es de 604 800 segundos, lo que equivale a una semana. Para volver a conectarse a Aurora DSQL desde el cliente, puede utilizar el mismo token de autenticación si no ha caducado o puede generar uno nuevo.
Para empezar a generar un token, cree una política de IAM y un clúster en Aurora DSQL. A continuación, use la consola de AWS, la AWS CLI o el SDK de AWS para generar un token.
Como mínimo, debe tener los permisos de IAM indicados en Conexión al clúster mediante IAM, según el rol de base de datos que utilice para conectarse.
Temas
Uso de la consola de AWS para generar un token de autenticación en Aurora DSQL
Aurora DSQL autentica a los usuarios con un token en lugar de una contraseña. Puede generar el token desde la consola.
Para generar un token de autenticación
-
Inicie sesión en la AWS Management Console y abra la consola de Aurora DSQL en https://console.aws.amazon.com/dsql
. -
Elija el ID del clúster para el que desea generar un token de autenticación. Si aún no ha creado un clúster, siga los pasos descritos en Paso 1: creación de un clúster de Aurora DSQL de una sola región o Paso 4: creación de un clúster de varias regiones.
-
Elija Conectar y, a continuación, seleccione Obtener token.
-
Elija si desea conectarse como
admin
o con un rol de base de datos personalizado. -
Copie el token de autenticación generado y úselo para Acceso a Aurora DSQL con clientes de SQL.
Para obtener más información sobre los roles de base de datos personalizados e IAM en Aurora DSQL, consulte Autenticación y autorización para Aurora DSQL.
Uso de AWS CloudShell para generar un token de autenticación en Aurora DSQL
Antes de poder generar un token de autenticación mediante AWS CloudShell, asegúrese de hacer lo siguiente:
-
Agregue un permiso para ejecutar la operación de Amazon S3
get-object
para recuperar objetos de una Cuenta de AWS ajena a la organización. Para obtener más información, consulte la Guía del usuario de Amazon S3.
Generación de un token de autenticación mediante AWS CloudShell
-
Inicie sesión en la AWS Management Console y abra la consola de Aurora DSQL en https://console.aws.amazon.com/dsql
. -
En la parte inferior izquierda de la consola de AWS, elija AWS CloudShell.
-
Siga Instalación o actualización de la última versión de la AWS CLI para instalar la AWS CLI.
sudo ./aws/install --update
-
Ejecute el siguiente comando para generar un token de autenticación para el rol
admin
. Reemplaceus-east-1
por la región yyour_cluster_endpoint
por el punto de conexión de su propio clúster.nota
Si no se conecta como
admin
, utilicegenerate-db-connect-auth-token
en su lugar.aws dsql generate-db-connect-admin-auth-token \ --expires-in 3600 \ --region
us-east-1
\ --hostnameyour_cluster_endpoint
Si tiene problemas, consulte Solución de problemas de IAM y ¿Cómo puedo solucionar los errores de acceso denegado u operación no autorizada con una política de IAM?
-
Utilice el siguiente comando para usar
psql
e iniciar una conexión con el clúster.PGSSLMODE=require \ psql --dbname postgres \ --username admin \ --host cluster_endpoint
-
Debe ver una petición para proporcionar una contraseña. Copie el token que ha generado y asegúrese de no incluir espacios ni caracteres adicionales. Péguelo en la siguiente petición de
psql
.Password for user admin:
-
Pulse Intro. Debe ver una petición de PostgreSQL.
postgres=>
Si obtiene un error de acceso denegado, asegúrese de que la identidad de IAM tiene el permiso
dsql:DbConnectAdmin
. Si tiene el permiso y sigue teniendo errores de acceso denegado, consulte Solución de problemas de IAM y ¿Cómo puedo solucionar los errores de acceso denegado u operación no autorizada con una política de IAM?
Para obtener más información sobre los roles de base de datos personalizados e IAM en Aurora DSQL, consulte Autenticación y autorización para Aurora DSQL.
Uso de la AWS CLI para generar un token de autenticación en Aurora DSQL
Cuando el clúster esté ACTIVE
, puede generar un token de autenticación en la CLI mediante el comando aws dsql
. Utilice cualquiera de las siguientes técnicas:
-
Si se conecta con el rol
admin
, utilice la opcióngenerate-db-connect-admin-auth-token
. -
Si se conecta con un rol de base de datos personalizado, utilice la opción
generate-db-connect-auth-token
.
En el siguiente ejemplo se utilizan los siguientes atributos para generar un token de autenticación para el rol admin
.
-
your_cluster_endpoint
: el punto de conexión del clúster. Sigue el formato
, como en el ejemployour_cluster_identifier
.dsql.region
.on.aws01abc2ldefg3hijklmnopqurstu.dsql.us-east-1.on.aws
. -
region
: la Región de AWS, comous-east-2
ous-east-1
.
Los siguientes ejemplos establecen el tiempo de caducidad del token en 3600 segundos (1 hora).
Uso de los SDK para generar un token en Aurora DSQL
Puede generar un token de autenticación para el clúster cuando se encuentre en el estado ACTIVE
. En los ejemplos de SDK se utilizan los siguientes atributos para generar un token de autenticación para el rol admin
:
-
your_cluster_endpoint
(oyourClusterEndpoint
): el punto de conexión del clúster de Aurora DSQL. El formato de nomenclatura es
, como en el ejemployour_cluster_identifier
.dsql.region
.on.aws01abc2ldefg3hijklmnopqurstu.dsql.us-east-1.on.aws
. -
region
(oRegionEndpoint
): la Región de AWS en la que se encuentra el clúster, comous-east-2
ous-east-1
.