# 논리적 복제 연결을 위한 IAM 인증 구성
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth"></a>

Aurora PostgreSQL 버전 11 이상부터 복제 연결에 AWS Identity and Access Management(IAM) 인증을 사용할 수 있습니다. 이 기능을 사용하면 암호 대신 IAM 역할을 사용하여 데이터베이스 액세스를 관리할 수 있으므로 보안이 강화됩니다. 클러스터 수준에서 작동하며, 표준 IAM 인증과 동일한 보안 모델을 따릅니다.

복제 연결을 위한 IAM 인증은 옵트인 기능입니다. 활성화하려면 DB 클러스터 파라미터 그룹의 `rds.iam_auth_for_replication` 파라미터를 `1`로 설정합니다. 동적 파라미터이므로 DB 클러스터를 다시 시작할 필요가 없으므로, 가동 중지 시간 없이 기존 워크로드에서 IAM 인증을 활용할 수 있습니다. 이 기능을 활성화하기 전에 아래 나열된 [사전 조건](#AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites)을 충족해야 합니다.

## 사전 조건
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites"></a>

복제 연결에 IAM 인증을 사용하려면 다음 요구 사항을 모두 충족해야 합니다.
+ Aurora PostgreSQL DB 클러스터는 버전 11 이상이어야 합니다.
+ 게시자 Aurora PostgreSQL DB 클러스터에서 다음을 수행합니다.
  + IAM 데이터베이스 인증을 활성화합니다.

    자세한 내용은 [IAM 데이터베이스 인증의 활성화 및 비활성화](UsingWithRDS.IAMDBAuth.Enabling.md) 섹션을 참조하세요.
  + `rds.logical_replication` 파라미터를 `1`로 설정하여 로컬 복제를 활성화합니다.

    자세한 내용은 [Aurora PostgreSQL DB 클러스터의 논리적 복제 설정](AuroraPostgreSQL.Replication.Logical.Configure.md) 섹션을 참조하세요.

  논리적 복제에서 게시자는 구독자 클러스터로 데이터를 전송하는 소스 Aurora PostgreSQL DB 클러스터입니다. 자세한 내용은 [Aurora의 PostgreSQL 논리적 복제 개요](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Replication.Logical.html)를 참조하세요.

**참고**  
게시자 Aurora PostgreSQL DB 클러스터에서 IAM 인증과 논리적 복제를 모두 활성화해야 합니다. 둘 중 하나가 활성화되지 않은 경우 복제 연결에 IAM 인증을 사용할 수 없습니다.

## 복제 연결에 대한 IAM 인증 활성화
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-enabling"></a>

다음 단계를 완료하여 복제 연결에 대한 IAM 인증을 활성화합니다.

1. Aurora PostgreSQL DB 클러스터가 복제 연결을 통한 IAM 인증을 위한 모든 사전 조건을 충족하는지 확인합니다. 자세한 내용은 [사전 조건](#AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites)을 참조하세요.

1. DB 클러스터 `rds.iam_auth_for_replication` 파라미터 그룹을 수정하여 파라미터를 구성합니다.
   + `rds.iam_auth_for_replication` 파라미터를 `1`로 설정합니다. 이는 재부팅이 필요하지 않은 동적 파라미터입니다.

1. 데이터베이스에 연결하고 복제 사용자에게 필요한 역할을 부여합니다.

   다음 SQL 명령은 복제 연결에 대한 IAM 인증을 활성화하는 데 필요한 역할을 부여합니다.

   ```
   -- Grant IAM authentication role
   GRANT rds_iam TO replication_user_name;
   -- Grant replication privileges
   ALTER USER replication_user_name WITH REPLICATION;
   ```

이 단계를 완료한 후, 지정된 사용자는 복제 연결에 IAM 인증을 사용해야 합니다.

**중요**  
기능을 활성화할 때 `rds_iam` 및 `rds_replication` 역할이 모두 있는 사용자는 복제 연결에 IAM 인증을 사용해야 합니다. 이는 역할이 사용자에게 직접 할당되는지 아니면 다른 역할을 통해 상속되는지에 관계없이 적용됩니다.

## 복제 연결에 대한 IAM 인증 비활성화
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-disabling"></a>

다음 방법 중 하나를 사용하여 복제 연결에 대한 IAM 인증을 비활성화할 수 있습니다.
+ DB 클러스터 파라미터 그룹의 `rds.iam_auth_for_replication` 파라미터를 `0`으로 설정합니다.
+ 또는 Aurora PostgreSQL DB 클러스터에서 다음 기능 중 하나를 비활성화할 수 있습니다.
  + `rds.logical_replication` 파라미터를 `0`으로 설정하여 논리적 복제 비활성화
  + IAM 인증 비활성화

기능을 비활성화하면 복제 연결이 구성된 경우 인증에 데이터베이스 암호를 사용할 수 있습니다.

**참고**  
`rds_iam` 역할이 없는 사용자의 복제 연결은 기능이 활성화된 경우에도 암호 인증을 사용할 수 있습니다.

## 제한 사항 및 고려 사항
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-limitations"></a>

복제 연결에 IAM 인증을 사용할 때는 다음과 같은 제한 및 고려 사항이 적용됩니다.
+ 복제 연결에 대한 IAM 인증은 Aurora PostgreSQL 버전 11 이상에서만 사용할 수 있습니다.
+ 게시자는 복제 연결에 대한 IAM 인증을 지원해야 합니다.
+ IAM 인증 토큰은 기본적으로 15분 후에 만료됩니다. 토큰이 만료되기 전에 장기 실행 복제 연결을 새로 고쳐야 할 수 있습니다.