Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'authentification IAM pour les connexions de réplication logiques
À partir des versions 11 et supérieures d'Aurora PostgreSQL, vous pouvez AWS utiliser l'authentification Identity and Access Management (IAM) pour les connexions de réplication. Cette fonctionnalité améliore la sécurité en vous permettant de gérer l'accès à la base de données à l'aide de rôles IAM plutôt que de mots de passe. Elle fonctionne au niveau du cluster et suit le même modèle de sécurité que l'authentification IAM standard.
L'authentification IAM pour les connexions de réplication est une fonctionnalité optionnelle. Pour l'activer, définissez le rds.iam_auth_for_replication paramètre sur 1 dans le groupe de paramètres de votre cluster de base de données. Comme il s'agit d'un paramètre dynamique, votre cluster de base de données n'a pas besoin de redémarrer, ce qui vous permet de tirer parti de l'authentification IAM avec les charges de travail existantes sans interruption de service. Avant d'activer cette fonctionnalité, vous devez respecter les conditions Prérequis répertoriées ci-dessous.
Prérequis
Pour utiliser l'authentification IAM pour les connexions de réplication, vous devez satisfaire à toutes les exigences suivantes :
-
Votre cluster de base de données Aurora PostgreSQL doit être de version 11 ou ultérieure.
-
Sur le cluster de base de données PostgreSQL Aurora de votre éditeur :
-
Activez l'authentification de base de données IAM.
Pour de plus amples informations, veuillez consulter Activation et désactivation de l’authentification de base de données IAM.
-
Activez la réplication logique en définissant le
rds.logical_replicationparamètre sur1.Pour de plus amples informations, veuillez consulter Configuration de la réplication logique pour votre cluster de bases de données Aurora PostgreSQL.
Dans la réplication logique, l'éditeur est le cluster de base de données Aurora PostgreSQL source qui envoie des données aux clusters d'abonnés. Pour plus d'informations, consultez Présentation de la réplication logique PostgreSQL avec Aurora.
-
Note
L'authentification IAM et la réplication logique doivent être activées sur le cluster de base de données PostgreSQL Aurora de votre éditeur. Si l'une ou l'autre n'est pas activée, vous ne pouvez pas utiliser l'authentification IAM pour les connexions de réplication.
Activation de l'authentification IAM pour les connexions de réplication
Procédez comme suit pour activer l'authentification IAM pour la connexion de réplication.
-
Vérifiez que votre cluster de base de données Aurora PostgreSQL répond à toutes les conditions requises pour l'authentification IAM avec des connexions de réplication. Pour en savoir plus, consultez Prérequis.
-
Configurez le
rds.iam_auth_for_replicationparamètre en modifiant le groupe de paramètres de votre cluster de base de données :-
Définissez le paramètre
rds.iam_auth_for_replicationsur1. Ce paramètre dynamique ne nécessite pas de redémarrage.
-
-
Connectez-vous à votre base de données et accordez les rôles nécessaires à votre utilisateur de réplication :
Les commandes SQL suivantes octroient les rôles nécessaires pour activer l'authentification IAM pour les connexions de réplication :
-- Grant IAM authentication role GRANT rds_iam TO replication_user_name; -- Grant replication privileges ALTER USER replication_user_name WITH REPLICATION;
Après avoir effectué ces étapes, l'utilisateur spécifié doit utiliser l'authentification IAM pour les connexions de réplication.
Important
Lorsque vous activez cette fonctionnalité, les utilisateurs possédant à la fois des rds_replication rôles rds_iam et des rôles doivent utiliser l'authentification IAM pour les connexions de réplication. Cela s'applique que les rôles soient attribués directement à l'utilisateur ou hérités par le biais d'autres rôles.
Désactivation de l'authentification IAM pour les connexions de réplication
Vous pouvez désactiver l'authentification IAM pour les connexions de réplication en utilisant l'une des méthodes suivantes :
-
Définissez le
rds.iam_auth_for_replicationparamètre sur0dans le groupe de paramètres de votre cluster de base de données -
Vous pouvez également désactiver l'une des fonctionnalités suivantes sur votre cluster de base de données Aurora PostgreSQL :
-
Désactivez la réplication logique en définissant le
rds.logical_replicationparamètre sur0 -
Désactiver l'authentification IAM
-
Lorsque vous désactivez cette fonctionnalité, les connexions de réplication peuvent utiliser les mots de passe de base de données pour l'authentification, si elles sont configurées.
Note
Les connexions de réplication pour les utilisateurs n'ayant pas le rds_iam rôle peuvent utiliser l'authentification par mot de passe même lorsque la fonctionnalité est activée.
Limites et considérations
Les limites et considérations suivantes s'appliquent lors de l'utilisation de l'authentification IAM pour les connexions de réplication.
-
L'authentification IAM pour les connexions de réplication n'est disponible que pour les versions 11 et supérieures d'Aurora PostgreSQL.
-
L'éditeur doit prendre en charge l'authentification IAM pour les connexions de réplication.
-
Le jeton d'authentification IAM expire au bout de 15 minutes par défaut. Il se peut que vous deviez actualiser les connexions de réplication de longue durée avant l'expiration du jeton.
