Prerequisiti Abilitazione dell'autenticazione IAM Disabilitazione dell'autenticazione IAM Limitazioni

Configurazione dell'autenticazione IAM per le connessioni di replica logica

A partire dalle versioni 11 e successive di Aurora PostgreSQL, puoi utilizzare l'autenticazione Identity and AWS Access Management (IAM) per le connessioni di replica. Questa funzionalità migliora la sicurezza consentendo di gestire l'accesso al database utilizzando i ruoli IAM anziché le password. Funziona a livello di cluster e segue lo stesso modello di sicurezza dell'autenticazione IAM standard.

L'autenticazione IAM per le connessioni di replica è una funzionalità opzionale. Per abilitarla, imposta il rds.iam_auth_for_replication parametro su 1 nel gruppo di parametri del cluster DB. Poiché si tratta di un parametro dinamico, non è necessario riavviare il cluster DB, il che consente di sfruttare l'autenticazione IAM con i carichi di lavoro esistenti senza tempi di inattività. Prima di abilitare questa funzionalità, è necessario soddisfare i requisiti elencati di seguito. Prerequisiti

Prerequisiti

Per utilizzare l'autenticazione IAM per le connessioni di replica, devi soddisfare tutti i seguenti requisiti:

Il cluster Aurora PostgreSQL DB deve avere la versione 11 o successiva.
Sul cluster Aurora PostgreSQL DB dell'editore:
- Abilita l'autenticazione del database IAM.
  
  Per ulteriori informazioni, consulta Abilitazione e disabilitazione dell’autenticazione database IAM.
- Abilita la replica logica impostando il rds.logical_replication parametro su1.
  
  Per ulteriori informazioni, consulta Configurazione della replica logica per il cluster database Aurora PostgreSQL.
Nella replica logica, l'editore è il cluster Aurora PostgreSQL DB di origine che invia i dati ai cluster di abbonati. Per ulteriori informazioni, consulta Panoramica della replica logica di PostgreSQL con Aurora.

Nota

Sia l'autenticazione IAM che la replica logica devono essere abilitate sul cluster Aurora PostgreSQL DB dell'editore. Se una delle due non è abilitata, non è possibile utilizzare l'autenticazione IAM per le connessioni di replica.

Abilitazione dell'autenticazione IAM per le connessioni di replica

Completa i seguenti passaggi per abilitare l'autenticazione IAM per la connessione di replica.

Verifica che il cluster Aurora PostgreSQL DB soddisfi tutti i prerequisiti per l'autenticazione IAM con connessioni di replica. Per informazioni dettagliate, vedi Prerequisiti.
Configura il rds.iam_auth_for_replication parametro modificando il gruppo di parametri del cluster DB:
- Imposta il parametro rds.iam_auth_for_replication su 1. Questo parametro dinamico non richiede un riavvio.
Connect al database e assegna i ruoli necessari all'utente di replica:

I seguenti comandi SQL garantiscono i ruoli necessari per abilitare l'autenticazione IAM per le connessioni di replica:
```
-- Grant IAM authentication role
GRANT rds_iam TO replication_user_name;
-- Grant replication privileges
ALTER USER replication_user_name WITH REPLICATION;
```

Dopo aver completato questi passaggi, l'utente specificato deve utilizzare l'autenticazione IAM per le connessioni di replica.

Importante

Quando abiliti la funzionalità, gli utenti con entrambi i rds_iam rds_replication ruoli devono utilizzare l'autenticazione IAM per le connessioni di replica. Ciò vale sia che i ruoli vengano assegnati direttamente all'utente o ereditati da altri ruoli.

Disabilitazione dell'autenticazione IAM per le connessioni di replica

Puoi disabilitare l'autenticazione IAM per le connessioni di replica utilizzando uno dei seguenti metodi:

Imposta il rds.iam_auth_for_replication parametro su 0 nel gruppo di parametri del cluster DB
In alternativa, puoi disabilitare una di queste funzionalità sul tuo cluster Aurora PostgreSQL DB:
- Disabilita la replica logica impostando il parametro su rds.logical_replication 0
- Disabilita l'autenticazione IAM

Quando disabiliti la funzionalità, le connessioni di replica possono utilizzare le password del database per l'autenticazione, se configurate.

Nota

Le connessioni di replica per gli utenti senza il rds_iam ruolo possono utilizzare l'autenticazione tramite password anche quando la funzionalità è abilitata.

Considerazioni e limitazioni

Le seguenti limitazioni e considerazioni si applicano all'utilizzo dell'autenticazione IAM per le connessioni di replica.

L'autenticazione IAM per le connessioni di replica è disponibile solo per Aurora PostgreSQL versione 11 e successive.
L'editore deve supportare l'autenticazione IAM per le connessioni di replica.
Per impostazione predefinita, il token di autenticazione IAM scade dopo 15 minuti. Potrebbe essere necessario aggiornare le connessioni di replica di lunga durata prima della scadenza del token.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempio: replica logica con Aurora PostgreSQL e AWS DMS

Inoltro di scrittura locale in Aurora PostgreSQL