Konfiguration der IAM-Authentifizierung für logische Replikationsverbindungen - Amazon Relational Database Service
VoraussetzungenAktivieren der IAM-Authentifizierung für ReplikationsverbindungenDeaktivierung der IAM-Authentifizierung für ReplikationsverbindungenEinschränkungen und Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der IAM-Authentifizierung für logische Replikationsverbindungen

Ab RDS für PostgreSQL, Versionen 11 und höher, können Sie die AWS Identity and Access Management (IAM-) Authentifizierung für Replikationsverbindungen verwenden. Diese Funktion erhöht die Sicherheit, da Sie den Datenbankzugriff mithilfe von IAM-Rollen anstelle von Kennwörtern verwalten können. Sie funktioniert sowohl bei der Cluster- als auch bei der Instance-Granularität und folgt demselben Sicherheitsmodell wie die Standard-IAM-Authentifizierung.

Die IAM-Authentifizierung für Replikationsverbindungen ist eine optionale Funktion. Um sie zu aktivieren, setzen Sie den rds.iam_auth_for_replication Parameter in Ihrem DB-Cluster oder Ihrer DB-Parametergruppe auf 1. Da es sich um einen dynamischen Parameter handelt, muss Ihr DB-Cluster oder Ihre Instance nicht neu gestartet werden, sodass Sie die IAM-Authentifizierung für bestehende Workloads ohne Ausfallzeiten nutzen können. Bevor Sie diese Funktion aktivieren können, müssen Sie die unten aufgeführten Voraussetzungen erfüllen.

Voraussetzungen

Um die IAM-Authentifizierung für Replikationsverbindungen verwenden zu können, müssen Sie alle der folgenden Anforderungen erfüllen:

  • Ihre RDS for PostgreSQL-DB-Instance muss Version 11 oder höher sein.

  • Gehen Sie auf Ihrer Publisher-DB-Instance RDS for PostgreSQL wie folgt vor:

Bei der logischen Replikation ist der Herausgeber die Quell-RDS-Datenbank für PostgreSQL, die Daten an die Abonnentendatenbank sendet. Weitere Informationen finden Sie unter Ausführen der logischen Replikation für Amazon RDS für PostgreSQL.

Anmerkung

Sowohl die IAM-Authentifizierung als auch die logische Replikation müssen auf Ihrer Publisher-RDS für PostgreSQL-DB-Instance aktiviert sein. Wenn eine der beiden Optionen nicht aktiviert ist, können Sie die IAM-Authentifizierung nicht für Replikationsverbindungen verwenden.

Aktivieren der IAM-Authentifizierung für Replikationsverbindungen

Gehen Sie wie folgt vor, um die IAM-Authentifizierung für die Replikationsverbindung zu aktivieren.

Um die IAM-Authentifizierung für Replikationsverbindungen zu aktivieren

  1. Stellen Sie sicher, dass Ihr RDS for PostgreSQL-DB-Cluster oder Ihre Instance alle Voraussetzungen für die IAM-Authentifizierung mit Replikationsverbindungen erfüllt. Details hierzu finden Sie unter Voraussetzungen.

  2. Konfigurieren Sie den rds.iam_auth_for_replication Parameter basierend auf Ihrem RDS for PostgreSQL-Setup:

    • Für RDS for PostgreSQL-DB-Instances: Ändern Sie Ihre DB-Parametergruppe.

    • Für Multi-AZ-Cluster: Ändern Sie Ihre DB-Cluster-Parametergruppe.

    Auf 1 rds.iam_auth_for_replication setzen. Dies ist ein dynamischer Parameter, der sofort wirksam wird, ohne dass ein Neustart erforderlich ist.

    Anmerkung

    Multi-AZ-Cluster verwenden nur DB-Cluster-Parametergruppen. Einzelne Instance-Parametergruppen können in Multi-AZ-Clustern nicht geändert werden.

  3. Connect zu Ihrer Datenbank her und weisen Sie Ihrem Replikationsbenutzer die erforderlichen Rollen zu:

    Die folgenden SQL-Befehle gewähren die erforderlichen Rollen, um die IAM-Authentifizierung für Replikationsverbindungen zu aktivieren:

    
-- Grant IAM authentication role
GRANT rds_iam TO replication_user_name;

-- Grant replication privileges
ALTER USER replication_user_name WITH REPLICATION;

    Nachdem Sie diese Schritte abgeschlossen haben, muss der angegebene Benutzer die IAM-Authentifizierung für Replikationsverbindungen verwenden.

    Wichtig

    Wenn Sie die Funktion aktivieren, müssen Benutzer mit rds_replication Rollen rds_iam sowohl als auch die IAM-Authentifizierung für Replikationsverbindungen verwenden. Dies gilt unabhängig davon, ob die Rollen dem Benutzer direkt zugewiesen oder über andere Rollen vererbt wurden.

Deaktivierung der IAM-Authentifizierung für Replikationsverbindungen

Sie können die IAM-Authentifizierung für Replikationsverbindungen mit einer der folgenden Methoden deaktivieren:

  • Setzen Sie den rds.iam_auth_for_replication Parameter in Ihrer DB-Parametergruppe für DB-Instances oder in der DB-Cluster-Parametergruppe für Multi-AZ-Cluster auf 0.

  • Alternativ können Sie eine dieser Funktionen in Ihrem RDS for PostgreSQL-DB-Cluster oder Ihrer Instance deaktivieren:

    • Deaktivieren Sie die logische Replikation, indem Sie den rds.logical_replication Parameter auf 0 setzen

    • Deaktivieren Sie die IAM-Authentifizierung

Wenn Sie die Funktion deaktivieren, können Replikationsverbindungen Datenbankkennwörter zur Authentifizierung verwenden.

Anmerkung

Replikationsverbindungen für Benutzer ohne die rds_iam Rolle können die Kennwortauthentifizierung verwenden, auch wenn die Funktion aktiviert ist.

Einschränkungen und Überlegungen

Beachten Sie bei der Verwendung der IAM-Authentifizierung für logische Replikationsverbindungen die folgenden Einschränkungen und Überlegungen:

  • Diese Funktion ist nur für RDS für PostgreSQL Version 11 und höher verfügbar.

  • Der Herausgeber muss die IAM-Authentifizierung für Replikationsverbindungen unterstützen.

  • Das IAM-Authentifizierungstoken läuft standardmäßig nach 15 Minuten ab. Möglicherweise müssen Sie lang andauernde Replikationsverbindungen aktualisieren, bevor das Token abläuft.