Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # `AWSSupport-TroubleshootRDSIAMAuthentication` **Descripción** `AWSSupport-TroubleshootRDSIAMAuthentication`Ayuda a solucionar problemas de autenticación AWS Identity and Access Management (IAM) para instancias de Amazon RDS for PostgreSQL, Amazon RDS for MySQL, Amazon RDS for MariaDB, Amazon Aurora PostgreSQL y Amazon Aurora MySQL. Utilice este manual para verificar la configuración necesaria para la autenticación de IAM con una instancia de Amazon RDS o un clúster Aurora. También proporciona pasos para corregir los problemas de conectividad con la instancia Amazon RDS o el clúster Aurora. **importante** Este manual no es compatible con Amazon RDS for Oracle ni Amazon RDS for Microsoft SQL Server. **importante** Si se proporciona una instancia Amazon EC2 de origen y la base de datos de destino es Amazon RDS, `AWSSupport-TroubleshootConnectivityToRDS` se invoca una automatización secundaria para solucionar los problemas de conectividad TCP. El resultado también proporciona comandos que puede ejecutar en su instancia Amazon EC2 o máquina de origen para conectarse a las instancias de Amazon RDS mediante la autenticación de IAM. **¿Cómo funciona?** Este manual consta de seis pasos: + **Paso 1: ValidateInputs: valida las entradas** de la automatización. + **Paso 2: ramificaciónOnSourceEC2Provided:** verifica si se proporciona un ID de instancia Amazon EC2 de origen en los parámetros de entrada. + **Paso 3: ValidaterDSConnectivity: valida** la conectividad de Amazon RDS desde la instancia Amazon EC2 de origen, si se proporciona. + **Paso 4: ValidatersSiamAuthentication: valida si** la función de autenticación de IAM está habilitada. + **Paso 5: ValidateIAMPolicies: verifica si los permisos de IAM necesarios están presentes** en el IAM proporcionado. user/role + **Paso 6: Generar un informe: genera un informe con los** resultados de los pasos ejecutados anteriormente. [Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDSIAMAuthentication) **Tipo de documento** Automatización **Propietario** Amazon **Plataformas** Linux **Parámetros** + AutomationAssumeRole Tipo: cadena Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos. + Tipo RDS Tipo: cadena Descripción: (Obligatorio): Seleccione el tipo de base de datos relacional a la que intenta conectarse y autenticarse. Valores permitidos: o `Amazon RDS` `Amazon Aurora Cluster.` + DBInstanceIdentifier Tipo: cadena Descripción: (obligatorio) El identificador de la instancia de base de datos Amazon RDS o del clúster de base de datos Aurora de destino. Valor permitido: `^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$` Número máximo de caracteres: 63 + SourceEc2InstanceIdentifier Tipo: `AWS::EC2::Instance::Id` Descripción: (opcional) El ID de instancia de Amazon EC2 si se conecta a la instancia de base de datos Amazon RDS desde una instancia de Amazon EC2 que se ejecuta en la misma cuenta y región. No especifique este parámetro si la fuente no es una instancia de Amazon EC2 o si el tipo de Amazon RDS de destino es un clúster de base de datos Aurora. Valor predeterminado: `""` + DBIAMRoleName Tipo: cadena Descripción: (opcional) El nombre de la función de IAM que se utiliza para la autenticación. IAM-based Indíquelo solo si no `DBIAMUserName` se proporciona el parámetro; de lo contrario, déjelo vacío. Se debe proporcionar `DBIAMRoleName` o `DBIAMUserName`. Valor permitido: `^[a-zA-Z0-9+=,.@_-]{1,64}$|^$` Número máximo de caracteres: 64 Valor predeterminado: `""` + DBIAMUserName Tipo: cadena Descripción: (opcional) El nombre de usuario de IAM utilizado para la IAM-based autenticación. Indíquelo solo si no se proporciona el `DBIAMRoleName` parámetro; de lo contrario, déjelo vacío. Se debe proporcionar `DBIAMRoleName` o `DBIAMUserName`. Valor permitido: `^[a-zA-Z0-9+=,.@_-]{1,64}$|^$` Número máximo de caracteres: 64 Valor predeterminado: `""` + DBUserName Tipo: cadena Descripción: (opcional) El nombre de usuario de la base de datos asignado a un IAM role/user para la IAM-based autenticación dentro de la base de datos. La opción predeterminada `*` evalúa si el `rds-db:connect` permiso está permitido para todos los usuarios de la base de datos. Valor permitido: `^[a-zA-Z0-9+=,.@*_-]{1,64}$` Número máximo de caracteres: 64 Valor predeterminado: `*` **Permisos de IAM necesarios** El parámetro `AutomationAssumeRole` requiere las siguientes acciones para utilizar el manual de procedimientos correctamente. + `ec2:DescribeInstances` + `ec2:DescribeNetworkAcls` + `ec2:DescribeRouteTables` + `ec2:DescribeSecurityGroups` + `ec2:DescribeSubnets` + `iam:GetPolicy` + `iam:GetRole` + `iam:GetUser` + `iam:ListAttachedRolePolicies` + `iam:ListAttachedUserPolicies` + `iam:ListRolePolicies` + `iam:ListUserPolicies` + `iam:SimulatePrincipalPolicy` + `rds:DescribeDBClusters` + `rds:DescribeDBInstances` + `ssm:DescribeAutomationStepExecutions` + `ssm:GetAutomationExecution` + `ssm:StartAutomationExecution` **Instrucciones** 1. Navega hasta [AWSSupport-TroubleshootRDSIAMAuthentication](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDSIAMAuthentication)la AWS Systems Manager consola. 1. Elija **Ejecutar automatización** 1. Para los parámetros de entrada, introduzca lo siguiente: + **AutomationAssumeRole(Opcional):** El nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos. + **Tipo RDS (obligatorio):** Seleccione el tipo de Amazon RDS al que intenta conectarse y autenticarse. Elija uno de los dos valores permitidos: o `Amazon RDS` `Amazon Aurora Cluster.` + **DBInstanceIdentifier(Obligatorio):** Introduzca el identificador de la instancia de base de datos Amazon RDS de destino o del clúster Aurora al que intenta conectarse y utilice las credenciales de IAM para la autenticación. + **SourceEc2InstanceIdentifier(Opcional):** Proporcione el ID de instancia de Amazon EC2 si se conecta a la instancia de base de datos de Amazon RDS desde una instancia de Amazon EC2 presente en la misma cuenta y región. Déjelo en blanco si el origen no es Amazon EC2 o si el tipo de Amazon RDS de destino es un clúster Aurora. + **DBIAMRoleName(Opcional):** Introduzca el nombre del rol de IAM utilizado para la IAM-Based autenticación. Indíquelo solo si no `DBIAMUserName` se proporciona; de lo contrario, déjelo en blanco. Se debe proporcionar `DBIAMRoleName` o `DBIAMUserName`. + **DBIAMUserName(Opcional):** Introduzca el usuario de IAM utilizado para la IAM-Based autenticación. Introdúzcalo solo si no `DBIAMRoleName` se proporciona; de lo contrario, déjelo en blanco. Se debe proporcionar `DBIAMRoleName` o `DBIAMUserName`. + **DBUserName(Opcional):** Introduzca el usuario de la base de datos asignado a un IAM role/user para la IAM-Based autenticación en la base de datos. La opción predeterminada `*` se utiliza para evaluar; no se proporciona nada en este campo. ![La sección de parámetros de entrada muestra el selector de instancias de EC2, los campos de configuración de RDS y las opciones de autenticación.](http://docs.aws.amazon.com/es_es/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-rds-iam-authentication_input_parameters.png) 1. Seleccione **Ejecutar**. 1. Observe que se inicia la automatización. 1. Este documento realiza los siguientes pasos: + **Paso 1: Validar las entradas:** Valida las entradas de la automatización: `SourceEC2InstanceIdentifier` (opcional), `DBInstanceIdentifier` o, y o`ClusterID`. `DBIAMRoleName` `DBIAMUserName` Verifica si los parámetros de entrada ingresados están presentes en su cuenta y región. También verifica si el usuario ingresó uno de los parámetros de IAM (por ejemplo, `DBIAMRoleName` o). `DBIAMUserName` Además, realiza otras verificaciones, por ejemplo, si la base de datos mencionada está en estado Disponible. + **Paso 2: sucursalOnSourceEC2Provided:** Verifica si se proporciona Amazon EC2 de origen en los parámetros de entrada y si la base de datos es Amazon RDS. En caso afirmativo, continúa con el paso 3. De lo contrario, se salta el paso 3, que es la validación de la conectividad de Amazon EC2-Amazon RDS, y pasa al paso 4. + **Paso 3: Validar la conectividad de RDS:** Si se proporciona el Amazon EC2 de origen en los parámetros de entrada y la base de datos es Amazon RDS, el paso 2 inicia el paso 3. En este paso, `AWSSupport-TroubleshootConnectivityToRDS` se invoca la automatización secundaria para validar la conectividad de Amazon RDS desde Amazon EC2 de origen. El manual de automatización secundaria `AWSSupport-TroubleshootConnectivityToRDS` verifica si las configuraciones de red requeridas (Amazon Virtual Private Cloud [Amazon VPC], grupos de seguridad, lista de control de acceso a la red [NACL], disponibilidad de Amazon RDS) están implementadas para que pueda conectarse desde la instancia de Amazon EC2 a la instancia de Amazon RDS. + **Paso 4: Validar la autenticación de DSIAMAuthentication:** Valida si la función de autenticación de IAM está habilitada en la instancia de Amazon RDS o en el clúster Aurora. + **Paso 5: Validar las políticas de IAM:** Comprueba si los permisos de IAM necesarios están presentes en el IAM user/role transferido para permitir que las credenciales de IAM se autentiquen en la instancia de Amazon RDS para el usuario de base de datos especificado (si lo hubiera). + **Paso 6: Generar un informe:** Obtiene toda la información de los pasos anteriores e imprime el resultado o la salida de cada paso. También se enumeran los pasos a seguir y realizar para conectarse a la instancia de Amazon RDS mediante las credenciales de IAM. 1. Cuando se complete la automatización, consulte la sección de **resultados** para ver los resultados detallados: + **Comprobar el User/Role permiso de IAM para conectarse a la base de datos:** Comprueba si los permisos de IAM necesarios están presentes en el IAM user/role transferido para permitir que las credenciales de IAM se autentiquen en la instancia de Amazon RDS para el usuario de base de datos especificado (si lo hubiera). + **Comprobación IAM-Based del atributo de autenticación de la base de datos:** Comprueba si la función de autenticación de IAM está habilitada para el clúster de Amazon Database/Aurora RDS especificado. + **Comprobación de la conectividad de una instancia de Amazon EC2 a una instancia de Amazon RDS:** Verifica si las configuraciones de red requeridas (Amazon VPC, grupos de seguridad, NACL, disponibilidad de Amazon RDS) están implementadas para que pueda conectarse desde la instancia de Amazon EC2 a la instancia de Amazon RDS. + **Pasos siguientes:** Muestra los comandos y los pasos que se deben consultar y ejecutar para conectarse a la instancia de Amazon RDS mediante las credenciales de IAM. ![Los resultados de la solución de problemas muestran IAM los permisos verificados, la IAM autenticación habilitada y no se ha proporcionado ninguna instancia EC2 de origen.](http://docs.aws.amazon.com/es_es/systems-manager-automation-runbooks/latest/userguide/images/awssupport-troubleshoot-rds-iam-authentication_outputs.png) **Referencias** Automatización de Systems Manager + [Ejecuta esta automatización (consola)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootRDSIAMAuthentication) + [Ejecución de una automatización](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configuración de Automatización](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Página de inicio de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)