Cómo añadir un nuevo usuario de base de datos al usar RDS Proxy
En algunos casos, podría agregar un nuevo usuario de base de datos a un clúster de Aurora asociado a un proxy. Continúe en función de si utiliza la autenticación estándar con secretos de Secrets Manager o la autenticación de IAM integral.
Si utiliza la autenticación de IAM estándar, siga estas instrucciones:
-
Cree un nuevo secreto de Secrets Manager mediante el procedimiento descrito en Configuración de credenciales de base de datos para RDS Proxy.
-
Actualice el rol de IAM para conceder acceso al RDS Proxy al nuevo secreto de Secrets Manager. Para ello, actualice la sección de recursos de la política del rol de IAM.
-
Modifique el proxy de RDS para añadir el nuevo secreto de Secrets Manager en Secretos de Secrets Manager.
-
Si el nuevo usuario toma el lugar de uno existente, actualice las credenciales almacenadas en el secreto de Secrets Manager del proxy para el usuario existente.
Si utiliza la autenticación de IAM integral, debe crear el usuario de la base de datos y configurar los permisos de IAM. Para hacerlo, realice estos pasos:
-
Cree un nuevo usuario de base de datos en la base de datos que coincida con el nombre de usuario o rol de IAM que desee utilizar para la autenticación.
-
Asegúrese de que el usuario de la base de datos esté configurado con el complemento de autenticación de IAM en la base de datos. Consulte Creación de cuentas de base de datos utilizando autenticación de IAM.
-
Actualice la política de IAM para conceder el permiso
rds-db:connectal usuario o rol de IAM, tal y como se describe en Creación de una política de IAM para la autenticación de IAM integral. -
Asegúrese de que el proxy esté configurado para usar la autenticación de IAM como esquema de autenticación predeterminado.
Con la autenticación de IAM integral, no es necesario administrar las credenciales de la base de datos en secretos de Secrets Manager, ya que las credenciales de IAM se utilizan para la autenticación del cliente al proxy y del proxy a la base de datos.
Cómo añadir un nuevo usuario de base de datos a una base de datos PostgreSQL al usar RDS Proxy
Al agregar un nuevo usuario a su base de datos de PostgreSQL, si ha ejecutado el siguiente comando:
REVOKE CONNECT ON DATABASE postgres FROM PUBLIC;
Otorgue al usuario rdsproxyadmin el privilegio CONNECT para que pueda supervisar las conexiones en la base de datos de destino.
GRANT CONNECT ON DATABASE postgres TO rdsproxyadmin;
También puede permitir que otros usuarios de la base de datos de destino realicen comprobaciones de estado cambiando rdsproxyadmin por el usuario de la base de datos del comando anterior.
Cambio de la contraseña de un usuario de base de datos al usar RDS Proxy
En algunos casos, puede cambiar la contraseña de un usuario de base de datos en un clúster de Aurora asociado a un proxy. Si es así, actualice el secreto de Secrets Manager correspondiente con la nueva contraseña.
Si utiliza la autenticación de IAM integral, no necesita actualizar ninguna contraseña en secretos de Secrets Manager.
