Mengkonfigurasi otentikasi IAM untuk koneksi replikasi logis - Amazon Aurora
PrasyaratMengaktifkan otentikasi IAMMenonaktifkan otentikasi IAMBatasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi otentikasi IAM untuk koneksi replikasi logis

Dimulai dengan Aurora PostgreSQL versi 11 dan lebih tinggi, Anda dapat menggunakan otentikasi Identity and Access Management (IAM) and Access Management ( AWS IAM) untuk koneksi replikasi. Fitur ini meningkatkan keamanan dengan memungkinkan Anda mengelola akses database menggunakan peran IAM alih-alih kata sandi. Ia bekerja di tingkat cluster dan mengikuti model keamanan yang sama dengan otentikasi IAM standar.

Autentikasi IAM untuk koneksi replikasi adalah fitur opt-in. Untuk mengaktifkannya, atur rds.iam_auth_for_replication parameter ke 1 dalam grup parameter cluster DB Anda. Karena ini adalah parameter dinamis, cluster DB Anda tidak perlu memulai ulang, memungkinkan Anda untuk memanfaatkan otentikasi IAM dengan beban kerja yang ada tanpa downtime. Sebelum mengaktifkan fitur ini, Anda harus memenuhi yang Prasyarat tercantum di bawah ini.

Prasyarat

Untuk menggunakan autentikasi IAM untuk koneksi replikasi, Anda harus memenuhi semua persyaratan berikut:

catatan

Otentikasi IAM dan replikasi logis harus diaktifkan pada klaster DB PostgreSQL Publisher Aurora PostgreSQL Anda. Jika salah satu tidak diaktifkan, Anda tidak dapat menggunakan autentikasi IAM untuk koneksi replikasi.

Mengaktifkan otentikasi IAM untuk koneksi replikasi

Selesaikan langkah-langkah berikut untuk mengaktifkan otentikasi IAM untuk koneksi replikasi.

  1. Verifikasi bahwa klaster DB PostgreSQL Aurora Anda memenuhi semua prasyarat untuk otentikasi IAM dengan koneksi replikasi. Lihat perinciannya di Prasyarat.

  2. Konfigurasikan rds.iam_auth_for_replication parameter dengan memodifikasi grup parameter cluster DB Anda:

    • Atur parameter rds.iam_auth_for_replication ke 1. Parameter dinamis ini tidak memerlukan reboot.

  3. Connect ke database Anda dan berikan peran yang diperlukan untuk pengguna replikasi Anda:

    Perintah SQL berikut memberikan peran yang diperlukan untuk mengaktifkan otentikasi IAM untuk koneksi replikasi:

    -- Grant IAM authentication role
GRANT rds_iam TO replication_user_name;
-- Grant replication privileges
ALTER USER replication_user_name WITH REPLICATION;

Setelah Anda menyelesaikan langkah-langkah ini, pengguna yang ditentukan harus menggunakan otentikasi IAM untuk koneksi replikasi.

penting

Saat Anda mengaktifkan fitur, pengguna dengan keduanya rds_iam dan rds_replication peran harus menggunakan autentikasi IAM untuk koneksi replikasi. Ini berlaku apakah peran ditetapkan langsung ke pengguna atau diwarisi melalui peran lain.

Menonaktifkan otentikasi IAM untuk koneksi replikasi

Anda dapat menonaktifkan otentikasi IAM untuk koneksi replikasi dengan menggunakan salah satu metode berikut:

  • Atur rds.iam_auth_for_replication parameter ke 0 dalam grup parameter cluster DB Anda

  • Atau, Anda dapat menonaktifkan salah satu fitur ini di cluster Aurora PostgreSQL DB Anda:

    • Nonaktifkan replikasi logis dengan mengatur rds.logical_replication parameter ke 0

    • Nonaktifkan otentikasi IAM

Saat Anda menonaktifkan fitur, koneksi replikasi dapat menggunakan kata sandi database untuk otentikasi jika dikonfigurasi.

catatan

Koneksi replikasi untuk pengguna tanpa rds_iam peran dapat menggunakan otentikasi kata sandi bahkan ketika fitur diaktifkan.

Pertimbangan dan batasan

Batasan dan pertimbangan berikut berlaku saat menggunakan otentikasi IAM untuk koneksi replikasi.

  • Autentikasi IAM untuk koneksi replikasi hanya tersedia untuk Aurora PostgreSQL versi 11 dan lebih tinggi.

  • Penerbit harus mendukung otentikasi IAM untuk koneksi replikasi.

  • Token otentikasi IAM kedaluwarsa setelah 15 menit secara default. Anda mungkin perlu menyegarkan koneksi replikasi yang berjalan lama sebelum token kedaluwarsa.