Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration der IAM-Authentifizierung für logische Replikationsverbindungen
Ab Aurora PostgreSQL Version 11 und höher können Sie die AWS Identity and Access Management (IAM) -Authentifizierung für Replikationsverbindungen verwenden. Diese Funktion erhöht die Sicherheit, da Sie den Datenbankzugriff mithilfe von IAM-Rollen anstelle von Passwörtern verwalten können. Sie funktioniert auf Clusterebene und folgt demselben Sicherheitsmodell wie die Standard-IAM-Authentifizierung.
Die IAM-Authentifizierung für Replikationsverbindungen ist eine optionale Funktion. Um sie zu aktivieren, setzen Sie den rds.iam_auth_for_replication Parameter 1 in Ihrer DB-Cluster-Parametergruppe auf. Da es sich um einen dynamischen Parameter handelt, muss Ihr DB-Cluster nicht neu gestartet werden, sodass Sie die IAM-Authentifizierung für bestehende Workloads ohne Ausfallzeiten nutzen können. Bevor Sie diese Funktion aktivieren können, müssen Sie die unten Voraussetzungen aufgeführten Voraussetzungen erfüllen.
Voraussetzungen
Um die IAM-Authentifizierung für Replikationsverbindungen verwenden zu können, müssen Sie alle der folgenden Anforderungen erfüllen:
-
Ihr Aurora PostgreSQL-DB-Cluster muss Version 11 oder höher sein.
-
Auf Ihrem Publisher-Aurora-PostgreSQL-DB-Cluster:
-
Aktivieren Sie die IAM-Datenbankauthentifizierung.
Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der IAM-Datenbank-Authentifizierung.
-
Aktivieren Sie die logische Replikation, indem Sie den
rds.logical_replicationParameter auf1setzen.Weitere Informationen finden Sie unter Einrichten der logischen Replikation für Ihren DB-Cluster von Aurora PostgreSQL.
Bei der logischen Replikation ist der Herausgeber der Aurora PostgreSQL-Quell-DB-Cluster, der Daten an Abonnentencluster sendet. Weitere Informationen finden Sie unter Überblick über die logische PostgreSQL-Replikation mit Aurora.
-
Anmerkung
Sowohl die IAM-Authentifizierung als auch die logische Replikation müssen auf Ihrem Publisher-Aurora-PostgreSQL-DB-Cluster aktiviert sein. Wenn eine der beiden Optionen nicht aktiviert ist, können Sie die IAM-Authentifizierung nicht für Replikationsverbindungen verwenden.
Aktivieren der IAM-Authentifizierung für Replikationsverbindungen
Gehen Sie wie folgt vor, um die IAM-Authentifizierung für die Replikationsverbindung zu aktivieren.
-
Stellen Sie sicher, dass Ihr Aurora PostgreSQL-DB-Cluster alle Voraussetzungen für die IAM-Authentifizierung mit Replikationsverbindungen erfüllt. Details hierzu finden Sie unter Voraussetzungen.
-
Konfigurieren Sie den
rds.iam_auth_for_replicationParameter, indem Sie Ihre DB-Cluster-Parametergruppe ändern:-
Stellen Sie den Parameter
rds.iam_auth_for_replicationauf1ein. Für diesen dynamischen Parameter ist kein Neustart erforderlich.
-
-
Connect zu Ihrer Datenbank her und weisen Sie Ihrem Replikationsbenutzer die erforderlichen Rollen zu:
Die folgenden SQL-Befehle gewähren die erforderlichen Rollen, um die IAM-Authentifizierung für Replikationsverbindungen zu aktivieren:
-- Grant IAM authentication role GRANT rds_iam TO replication_user_name; -- Grant replication privileges ALTER USER replication_user_name WITH REPLICATION;
Nachdem Sie diese Schritte abgeschlossen haben, muss der angegebene Benutzer die IAM-Authentifizierung für Replikationsverbindungen verwenden.
Wichtig
Wenn Sie die Funktion aktivieren, müssen Benutzer mit rds_replication Rollen rds_iam sowohl als auch die IAM-Authentifizierung für Replikationsverbindungen verwenden. Dies gilt unabhängig davon, ob die Rollen dem Benutzer direkt zugewiesen oder über andere Rollen vererbt wurden.
Deaktivierung der IAM-Authentifizierung für Replikationsverbindungen
Sie können die IAM-Authentifizierung für Replikationsverbindungen mit einer der folgenden Methoden deaktivieren:
-
Setzen Sie den
rds.iam_auth_for_replicationParameter0in Ihrer DB-Cluster-Parametergruppe auf -
Alternativ können Sie eine dieser Funktionen in Ihrem Aurora PostgreSQL-DB-Cluster deaktivieren:
-
Deaktivieren Sie die logische Replikation, indem Sie den Parameter auf
rds.logical_replicationsetzen0 -
Deaktivieren Sie die IAM-Authentifizierung
-
Wenn Sie die Funktion deaktivieren, können Replikationsverbindungen Datenbankkennwörter für die Authentifizierung verwenden, sofern sie konfiguriert sind.
Anmerkung
Replikationsverbindungen für Benutzer ohne die rds_iam Rolle können die Kennwortauthentifizierung verwenden, auch wenn die Funktion aktiviert ist.
Einschränkungen und Überlegungen
Die folgenden Einschränkungen und Überlegungen gelten für die Verwendung der IAM-Authentifizierung für Replikationsverbindungen.
-
Die IAM-Authentifizierung für Replikationsverbindungen ist nur für Aurora PostgreSQL Versionen 11 und höher verfügbar.
-
Der Herausgeber muss die IAM-Authentifizierung für Replikationsverbindungen unterstützen.
-
Das IAM-Authentifizierungstoken läuft standardmäßig nach 15 Minuten ab. Möglicherweise müssen Sie lang andauernde Replikationsverbindungen aktualisieren, bevor das Token abläuft.
