Habilitar e desabilitar a autenticação de banco de dados do IAM
Por padrão, a autenticação de banco de dados do IAM está desabilitada nas instâncias de banco de dados. É possível habilitar ou desabilitar a autenticação de banco de dados do IAM usando o AWS Management Console, a AWS CLI ou a API.
É possível habilitar a autenticação de banco de dados do IAM ao executar uma das seguintes ações:
-
Para criar uma nova instância de banco de dados com autenticação de banco de dados do IAM habilitada, consulte Criar uma instância de banco de dados do Amazon RDS.
-
Para modificar uma instância de banco de dados para habilitar a autenticação de banco de dados do IAM, consulte Modificar uma instância de banco de dados do Amazon RDS.
-
Para restaurar uma instância de banco de dados de um snapshot com a autenticação de banco de dados do IAM habilitada, consulte Restaurar uma instância de banco de dados.
-
Para restaurar uma instância de banco de dados em um momento específico com a autenticação de banco de dados do IAM habilitada, consulte Restaurar uma instância de banco de dados para um momento especificado no Amazon RDS.
A autenticação do IAM para de instâncias de banco de dados PostgreSQL exige que o valor de SSL seja 1. Você não pode habilitar a autenticação IAM para uma instância de banco de dados PostgreSQL caso o valor SSL seja 0. Você não pode alterar o valor SSL para 0 caso a autenticação IAM seja habilitada para uma instância de banco de dados PostgreSQL.
Cada fluxo de trabalho de criação ou modificação tem uma seção Database authentication (Autenticação de banco de dados), onde é possível habilitar ou desabilitar a autenticação de banco de dados do IAM. Nessa seção, escolha Password and IAM database authentication (Senha e autenticação do banco de dados do IAM) para habilitar a autenticação do banco de dados do IAM.
Para habilitar ou desabilitar a autenticação do banco de dados do IAM para uma instância de banco de dados existente
Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/
. -
No painel de navegação, escolha Databases (Bancos de dados).
-
Escolha a instância de banco de dados que você deseja modificar.
nota
Certifique-se de que a instância de banco de dados seja compatível com a autenticação do IAM. Verifique os requisitos de compatibilidade em Disponibilidade de regiões e versões.
-
Selecione Modify.
-
Na seção Database authentication (Autenticação do banco de dados), escolha Password and IAM database authentication (Senha e autenticação do banco de dados do IAM) para habilitar a autenticação do banco de dados do IAM. Escolha Autenticação de senha ou Senha e autenticação Kerberos para desabilitar a autenticação do IAM.
-
Você também pode optar por habilitar a publicação de logs de autenticação de banco de dados do IAM no CloudWatch Logs. Em Exportações de log, escolha a opção Log iam-db-auth-error. A publicação de logs no CloudWatch Logs consome armazenamento e gera cobranças por esse armazenamento. Se não precisar mais de algum log do CloudWatch, lembre-se de excluí-lo.
-
Escolha Continue.
-
Para aplicar as alterações imediatamente, escolha Immediately (Imediatamente) na seção Scheduling of modifications (Programação de modificações).
-
Escolha Modify DB Instance (Modificar instância de banco de dados) para salvar suas alterações.
Para criar uma nova instância de banco de dados com a autenticação do IAM usando a AWS CLI, use o comando create-db-instance. Especifique a opção --enable-iam-database-authentication, conforme exibido no exemplo a seguir.
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m3.medium\ --engineMySQL\ --allocated-storage20\ --master-usernamemasterawsuser\ --manage-master-user-password \ --enable-iam-database-authentication
Para atualizar uma instância de banco de dados existente a fim de ter ou não autenticação do IAM, use o comando AWS CLI da modify-db-instance. Especifique a opção --enable-iam-database-authentication ou --no-enable-iam-database-authentication, conforme apropriado.
nota
Certifique-se de que a instância de banco de dados seja compatível com a autenticação do IAM. Verifique os requisitos de compatibilidade em Disponibilidade de regiões e versões.
Por padrão, o Amazon RDS modifica a instância de banco de dados durante a próxima janela de manutenção. Se você quiser habilitar a autenticação de banco de dados do IAM o mais rápido possível, use o parâmetro --apply-immediately.
Os exemplos a seguir mostram como habilitar imediatamente a autenticação do IAM para uma instância de banco de dados existente.
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --apply-immediately \ --enable-iam-database-authentication
Se você está restaurando uma instância de banco de dados, use um dos comandos da AWS CLI a seguir:
A autenticação de banco de dados do IAM assumirá como padrão aquela do snapshot de origem. Para alterar essa configuração, defina a opção --enable-iam-database-authentication ou --no-enable-iam-database-authentication, conforme apropriado.
Para criar uma nova instância de banco de dados com a autenticação do IAM usando a API, use a operação da API CreateDBInstance. Defina o parâmetro EnableIAMDatabaseAuthentication como true.
Para atualizar uma instância de banco de dados existente a fim de ter ou não autenticação do IAM, use a operação da API ModifyDBInstance. Defina o parâmetro EnableIAMDatabaseAuthentication como true para habilitar a autenticação do IAM, ou false para desabilitá-la.
nota
Certifique-se de que a instância de banco de dados seja compatível com a autenticação do IAM. Verifique os requisitos de compatibilidade em Disponibilidade de regiões e versões.
Se você está restaurando um cluster de de banco de dados, use uma das operações da API a seguir:
A autenticação de banco de dados do IAM assumirá como padrão aquela do snapshot de origem. Para alterar essa configuração, defina o parâmetro EnableIAMDatabaseAuthentication como true para habilitar a autenticação do IAM, ou false para desabilitá-la.
