Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi otentikasi IAM untuk koneksi replikasi logis
Dimulai dengan RDS untuk PostgreSQL versi 11 dan lebih tinggi, Anda dapat AWS Identity and Access Management menggunakan otentikasi (IAM) untuk koneksi replikasi. Fitur ini meningkatkan keamanan dengan memungkinkan Anda mengelola akses database menggunakan peran IAM, bukan kata sandi. Ia bekerja baik pada granularitas cluster dan instance dan mengikuti model keamanan yang sama dengan otentikasi IAM standar.
Autentikasi IAM untuk koneksi replikasi adalah fitur opt-in. Untuk mengaktifkannya, atur rds.iam_auth_for_replication parameter ke 1 di cluster DB atau grup parameter DB Anda. Karena ini adalah parameter dinamis, cluster atau instans DB Anda tidak perlu memulai ulang, memungkinkan Anda memanfaatkan otentikasi IAM dengan beban kerja yang ada tanpa waktu henti. Sebelum mengaktifkan fitur ini, Anda harus memenuhi Prasyarat yang tercantum di bawah ini.
Topik
Prasyarat
Untuk menggunakan autentikasi IAM untuk koneksi replikasi, Anda harus memenuhi semua persyaratan berikut:
-
Instans RDS untuk PostgreSQL DB Anda harus versi 11 atau yang lebih baru.
-
Pada RDS penerbit Anda untuk instans PostgreSQL DB:
-
Aktifkan otentikasi database IAM. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan autentikasi basis data IAM.
-
Aktifkan replikasi logis dengan mengatur
rds.logical_replicationparameter ke 1.
-
Dalam replikasi logis, penerbit adalah sumber RDS untuk database PostgreSQL yang mengirimkan data ke database pelanggan. Untuk informasi selengkapnya, lihat Melakukan replikasi logis untuk Amazon RDS for PostgreSQL.
catatan
Otentikasi IAM dan replikasi logis harus diaktifkan pada RDS penerbit Anda untuk instance PostgreSQL DB. Jika salah satu tidak diaktifkan, Anda tidak dapat menggunakan autentikasi IAM untuk koneksi replikasi.
Mengaktifkan otentikasi IAM untuk koneksi replikasi
Selesaikan langkah-langkah berikut untuk mengaktifkan otentikasi IAM untuk koneksi replikasi.
Untuk mengaktifkan otentikasi IAM untuk koneksi replikasi
-
Verifikasi bahwa klaster atau instans RDS untuk PostgreSQL DB memenuhi semua prasyarat untuk autentikasi IAM dengan koneksi replikasi. Lihat perinciannya di Prasyarat.
-
Konfigurasikan
rds.iam_auth_for_replicationparameter berdasarkan RDS Anda untuk penyiapan PostgreSQL:-
Untuk RDS untuk instance PostgreSQL DB: Ubah grup parameter DB Anda.
-
Untuk klaster Multi-AZ: Ubah grup parameter cluster DB Anda.
Setel
rds.iam_auth_for_replicationke 1. Ini adalah parameter dinamis yang segera berlaku tanpa memerlukan reboot.catatan
Cluster multi-AZ hanya menggunakan grup parameter cluster DB. Grup parameter instans individual tidak dapat dimodifikasi di klaster multi-AZ.
-
-
Connect ke database Anda dan berikan peran yang diperlukan untuk pengguna replikasi Anda:
Perintah SQL berikut memberikan peran yang diperlukan untuk mengaktifkan otentikasi IAM untuk koneksi replikasi:
-- Grant IAM authentication role GRANT rds_iam TO replication_user_name; -- Grant replication privileges ALTER USER replication_user_name WITH REPLICATION;Setelah Anda menyelesaikan langkah-langkah ini, pengguna yang ditentukan harus menggunakan otentikasi IAM untuk koneksi replikasi.
penting
Saat Anda mengaktifkan fitur, pengguna dengan keduanya
rds_iamdanrds_replicationperan harus menggunakan autentikasi IAM untuk koneksi replikasi. Ini berlaku apakah peran ditetapkan langsung ke pengguna atau diwarisi melalui peran lain.
Menonaktifkan otentikasi IAM untuk koneksi replikasi
Anda dapat menonaktifkan autentikasi IAM untuk koneksi replikasi dengan menggunakan salah satu metode berikut:
-
Setel
rds.iam_auth_for_replicationparameter ke 0 di grup parameter DB Anda untuk instans DB atau grup parameter cluster DB untuk cluster multi-AZ. -
Atau, Anda dapat menonaktifkan salah satu fitur ini pada RDS Anda untuk PostgreSQL DB cluster atau instance:
-
Nonaktifkan replikasi logis dengan mengatur
rds.logical_replicationparameter ke 0 -
Nonaktifkan otentikasi IAM
-
Saat Anda menonaktifkan fitur tersebut, koneksi replikasi dapat menggunakan kata sandi database untuk otentikasi.
catatan
Koneksi replikasi untuk pengguna tanpa rds_iam peran dapat menggunakan otentikasi kata sandi bahkan ketika fitur diaktifkan.
Pertimbangan dan batasan
Pertimbangkan batasan dan pertimbangan berikut saat menggunakan otentikasi IAM untuk koneksi replikasi logis:
-
Fitur ini hanya tersedia untuk RDS untuk PostgreSQL versi 11 dan lebih tinggi.
-
Penerbit harus mendukung otentikasi IAM untuk koneksi replikasi.
-
Token otentikasi IAM kedaluwarsa setelah 15 menit secara default. Anda mungkin perlu menyegarkan koneksi replikasi yang berjalan lama sebelum token kedaluwarsa.
