# Configuración de la autenticación de IAM para conexiones de replicación lógica
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth"></a>

A partir de las versiones 11 y posteriores de Aurora PostgreSQL, puede usar la autenticación AWS Identity and Access Management (IAM) para las conexiones de replicación. Esta característica mejora la seguridad al permitirle administrar el acceso a la base de datos mediante roles de IAM en lugar de contraseñas. Funciona por clúster y sigue el mismo modelo de seguridad que la autenticación de IAM estándar.

La autenticación de IAM para conexiones de replicación es una característica opcional. Para habilitarla, establezca el parámetro `rds.iam_auth_for_replication` en `1` en el grupo de parámetros del clúster de la base de datos. Como se trata de un parámetro dinámico, el clúster de base de datos no necesita reiniciarse, lo que le permite aprovechar la autenticación de IAM con las cargas de trabajo existentes sin tiempo de inactividad. Antes de habilitar esta característica, asegúrese de que cumple los [Requisitos previos](#AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites) mostrados a continuación.

## Requisitos previos
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites"></a>

Para utilizar la autenticación de IAM para conexiones de replicación, debe cumplir todos los siguientes requisitos:
+ El clúster de base de datos de Aurora PostgreSQL debe ser la versión 11 o posterior.
+ En el clúster de base de datos de Aurora PostgreSQL del publicador: 
  + Habilite la autenticación de bases de datos de IAM.

    Para obtener más información, consulte [Activación y desactivación de la autenticación de bases de datos de IAM](UsingWithRDS.IAMDBAuth.Enabling.md).
  + Habilite la replicación lógica estableciendo el parámetro `rds.logical_replication` en `1`.

    Para obtener más información, consulte [Configuración de la replicación lógica para el clúster de base de datos de Aurora PostgreSQL](AuroraPostgreSQL.Replication.Logical.Configure.md).

  En la replicación lógica, el publicador es el clúster de base de datos de Aurora PostgreSQL de origen que envía los datos a los clústeres de suscriptores. Para obtener más información, consulte [Información general de la replicación lógica de PostgreSQL con Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Replication.Logical.html).

**nota**  
La autenticación de IAM y la replicación lógica deben estar habilitadas en el clúster de base de datos de Aurora PostgreSQL del publicador. Si ninguna de las dos está habilitada, no podrá utilizar la autenticación de IAM para conexiones de replicación.

## Habilitación de la autenticación de IAM para las conexiones de replicación
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-enabling"></a>

Realice los siguientes pasos antes de habilitar la autenticación de IAM para la conexión de replicación.

1. Compruebe que el clúster de base de datos de Aurora PostgreSQL cumpla todos los requisitos previos para la autenticación de IAM con conexiones de replicación. Para obtener más información, consulte [Requisitos previos](#AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites).

1. Configure el parámetro `rds.iam_auth_for_replication` modificando el grupo de parámetros de clúster de base de datos:
   + Establezca el parámetro `rds.iam_auth_for_replication` como `1`. Este parámetro dinámico no requiere un reinicio.

1. Conéctese a la base de datos y conceda los roles necesarios al usuario de replicación:

   Los siguientes comandos SQL otorgan los roles necesarios para habilitar la autenticación de IAM para las conexiones de replicación:

   ```
   -- Grant IAM authentication role
   GRANT rds_iam TO replication_user_name;
   -- Grant replication privileges
   ALTER USER replication_user_name WITH REPLICATION;
   ```

Tras completar estos pasos, el usuario especificado debe usar la autenticación de IAM para las conexiones de replicación.

**importante**  
Al habilitar la característica, los usuarios con los roles `rds_iam` y `rds_replication` deben usar la autenticación de IAM para las conexiones de replicación. Esto se aplica si los roles se asignan directamente al usuario o si se heredan a través de otros roles.

## Desactivación de la autenticación de IAM para las conexiones de replicación
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-disabling"></a>

Puede desactivar la autenticación de IAM para conexiones de replicación mediante cualquiera de los siguientes métodos:
+ Establecimiento del parámetro `rds.iam_auth_for_replication` en `0` en el grupo de parámetro de clúster de base de datos
+ Otra opción, puede desactivar cualquiera de estas características en el clúster de base de datos de Aurora PostgreSQL:
  + Desactivación de la replicación lógica estableciendo el parámetro `rds.logical_replication` en `0`
  + Desactivación de la autenticación de IAM

Al desactivar la característica, las conexiones de replicación pueden usar contraseñas de bases de datos para la autenticación si están configuradas.

**nota**  
Las conexiones de replicación para los usuarios sin el rol `rds_iam` pueden usar la autenticación por contraseña incluso cuando la característica está habilitada.

## Limitaciones y consideraciones
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-limitations"></a>

Las limitaciones y consideraciones siguientes se aplican cuando se use la autenticación de IAM para las conexiones de replicación.
+ La autenticación de IAM para las conexiones de replicación solo está disponible para las versiones 11 y posteriores de Aurora PostgreSQL.
+ El publicador debe admitir la autenticación de IAM para las conexiones de replicación.
+ De forma predeterminada, el token de autenticación de IAM caduca a los 15 minutos. Es posible que tenga que actualizar las conexiones de replicación de larga duración antes de que caduque el token.