Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'authentification IAM pour les connexions de réplication logiques
À partir des versions 11 et supérieures de RDS pour PostgreSQL, vous pouvez AWS Identity and Access Management utiliser l'authentification (IAM) pour les connexions de réplication. Cette fonctionnalité améliore la sécurité en vous permettant de gérer l'accès à la base de données à l'aide de rôles IAM plutôt que de mots de passe. Elle fonctionne à la fois au niveau de la granularité du cluster et de l'instance et suit le même modèle de sécurité que l'authentification IAM standard.
L'authentification IAM pour les connexions de réplication est une fonctionnalité optionnelle. Pour l'activer, définissez le rds.iam_auth_for_replication paramètre sur 1 dans votre cluster de base de données ou votre groupe de paramètres de base de données. Comme il s'agit d'un paramètre dynamique, votre cluster ou instance de base de données n'a pas besoin de redémarrer, ce qui vous permet de tirer parti de l'authentification IAM avec les charges de travail existantes sans interruption de service. Avant d'activer cette fonctionnalité, vous devez remplir les conditions requises répertoriées ci-dessous.
Rubriques
Prérequis
Pour utiliser l'authentification IAM pour les connexions de réplication, vous devez satisfaire à toutes les exigences suivantes :
-
Votre instance de base de données RDS pour PostgreSQL doit être de version 11 ou ultérieure.
-
Sur votre instance de base de données RDS pour PostgreSQL de votre éditeur :
-
Activez l'authentification de base de données IAM. Pour de plus amples informations, veuillez consulter Activation et désactivation de l’authentification de base de données IAM.
-
Activez la réplication logique en définissant le
rds.logical_replicationparamètre sur 1.
-
Dans la réplication logique, l'éditeur est la base de données RDS source pour PostgreSQL qui envoie les données à la base de données des abonnés. Pour de plus amples informations, veuillez consulter Réplication logique pour Amazon RDS pour PostgreSQL.
Note
L'authentification IAM et la réplication logique doivent être activées sur l'instance de base de données RDS pour PostgreSQL de votre éditeur. Si l'une ou l'autre n'est pas activée, vous ne pouvez pas utiliser l'authentification IAM pour les connexions de réplication.
Activation de l'authentification IAM pour les connexions de réplication
Procédez comme suit pour activer l'authentification IAM pour la connexion de réplication.
Pour activer l'authentification IAM pour les connexions de réplication
-
Vérifiez que votre cluster ou instance de base de données RDS pour PostgreSQL répond à toutes les conditions requises pour l'authentification IAM avec des connexions de réplication. Pour en savoir plus, consultez Prérequis.
-
Configurez le
rds.iam_auth_for_replicationparamètre en fonction de votre configuration de RDS pour PostgreSQL :-
Pour les instances de base de données RDS pour PostgreSQL : modifiez votre groupe de paramètres de base de données.
-
Pour les clusters multi-AZ : modifiez le groupe de paramètres de votre cluster de base de données.
rds.iam_auth_for_replicationRéglé sur 1. Il s'agit d'un paramètre dynamique qui prend effet immédiatement sans nécessiter de redémarrage.Note
Les clusters multi-AZ utilisent uniquement des groupes de paramètres de cluster de base de données. Les groupes de paramètres d'instance individuels ne peuvent pas être modifiés dans les clusters multi-AZ.
-
-
Connectez-vous à votre base de données et accordez les rôles nécessaires à votre utilisateur de réplication :
Les commandes SQL suivantes octroient les rôles nécessaires pour activer l'authentification IAM pour les connexions de réplication :
-- Grant IAM authentication role GRANT rds_iam TO replication_user_name; -- Grant replication privileges ALTER USER replication_user_name WITH REPLICATION;Après avoir effectué ces étapes, l'utilisateur spécifié doit utiliser l'authentification IAM pour les connexions de réplication.
Important
Lorsque vous activez cette fonctionnalité, les utilisateurs possédant à la fois des
rds_replicationrôlesrds_iamet des rôles doivent utiliser l'authentification IAM pour les connexions de réplication. Cela s'applique que les rôles soient attribués directement à l'utilisateur ou hérités par le biais d'autres rôles.
Désactivation de l'authentification IAM pour les connexions de réplication
Vous pouvez désactiver l'authentification IAM pour les connexions de réplication en utilisant l'une des méthodes suivantes :
-
Définissez le
rds.iam_auth_for_replicationparamètre sur 0 dans votre groupe de paramètres de base de données pour les instances de base de données ou dans le groupe de paramètres de cluster de base de données pour les clusters multi-AZ. -
Vous pouvez également désactiver l'une de ces fonctionnalités sur votre cluster ou instance de base de données RDS pour PostgreSQL :
-
Désactivez la réplication logique en définissant le
rds.logical_replicationparamètre sur 0 -
Désactiver l'authentification IAM
-
Lorsque vous désactivez cette fonctionnalité, les connexions de réplication peuvent utiliser des mots de passe de base de données pour l'authentification.
Note
Les connexions de réplication pour les utilisateurs n'ayant pas le rds_iam rôle peuvent utiliser l'authentification par mot de passe même lorsque la fonctionnalité est activée.
Limites et considérations
Tenez compte des limites et considérations suivantes lors de l'utilisation de l'authentification IAM pour les connexions de réplication logiques :
-
Cette fonctionnalité n'est disponible que pour les versions 11 et supérieures de RDS pour PostgreSQL.
-
L'éditeur doit prendre en charge l'authentification IAM pour les connexions de réplication.
-
Le jeton d'authentification IAM expire au bout de 15 minutes par défaut. Il se peut que vous deviez actualiser les connexions de réplication de longue durée avant l'expiration du jeton.
