Pré-requisitos Habilitar a autenticação do IAM Habilitar a autenticação do IAM Limitações

Configurar a autenticação do IAM para conexões de replicação lógica

A partir das versões 11 e posterior do Aurora PostgreSQL, você pode usar a autenticação do AWS Identity and Access Management (IAM) para conexões de replicação. Esse recurso aprimora a segurança ao permitir que você gerencie o acesso ao banco de dados usando perfis do IAM em vez de senhas. Ele funciona em nível de cluster e segue o mesmo modelo de segurança da autenticação padrão do IAM.

A autenticação do IAM para conexões de replicação é um atributo opcional. Para habilitá-lo, defina o parâmetro rds.iam_auth_for_replication como 1 no seu grupo de parâmetros do cluster de banco de dados. Como esse é um parâmetro dinâmico, seu cluster de banco de dados não precisa ser reiniciado, permitindo que você aproveite a autenticação do IAM com workloads existentes sem tempo de inatividade. Antes de habilitar esse atributo, você deve atender aos Pré-requisitos listados abaixo.

Pré-requisitos

Para usar a autenticação do IAM para conexões de replicação, você precisa cumprir todos os requisitos abaixo:

Seu cluster de banco de dados do Aurora PostgreSQL deve ser da versão 11 ou posterior.
No cluster de banco de dados do Aurora PostgreSQL do publicador:
- Habilite a autenticação do banco de dados do IAM.
  
  Para obter mais informações, consulte Habilitar e desabilitar a autenticação de banco de dados do IAM.
- Habilite a replicação lógica definindo o parâmetro rds.logical_replication como 1.
  
  Para obter mais informações, consulte Configurar a replicação lógica para seu cluster de banco de dados do Aurora PostgreSQL.
Na replicação lógica, o publicador é o cluster de banco de dados do Aurora PostgreSQL de origem que envia dados aos clusters de assinantes. Para acessar mais informações, consulte Visão geral da replicação lógica do PostgreSQL com o Aurora.

nota

Tanto a autenticação do IAM quanto a replicação lógica devem estar habilitadas no cluster de banco de dados do Aurora PostgreSQL do publicador. Se nenhuma delas estiver habilitada, você não poderá usar a autenticação do IAM para conexões de replicação.

Habilitar a autenticação do IAM para conexões de replicação

Conclua as etapas a seguir para habilitar a autenticação do IAM para a conexão de replicação.

Verifique se seu cluster de banco de dados do Aurora PostgreSQL atende a todos os pré-requisitos para autenticação do IAM com conexões de replicação. Para obter detalhes, consulte Pré-requisitos.
Configure o parâmetro rds.iam_auth_for_replication modificando o grupo de parâmetros do cluster de banco de dados:
- Defina o parâmetro rds.iam_auth_for_replication como 1. Esse parâmetro dinâmico não exige reinicialização.
Conecte-se ao seu banco de dados e conceda os perfis necessários ao seu usuário de replicação:

Os comandos SQL a seguir concedem os perfis necessários para habilitar a autenticação do IAM para conexões de replicação:
```
-- Grant IAM authentication role
GRANT rds_iam TO replication_user_name;
-- Grant replication privileges
ALTER USER replication_user_name WITH REPLICATION;
```

Depois de concluir essas etapas, o usuário especificado deve usar a autenticação do IAM para conexões de replicação.

Importante

Quando você habilita o recurso, os usuários com os perfis rds_iam e rds_replication devem usar a autenticação do IAM para conexões de replicação. Isso se aplicará se os perfis forem atribuídos diretamente ao usuário ou herdados por meio de outros perfis.

Desabilitar a autenticação do IAM para conexões de replicação

Você pode desabilitar a autenticação do IAM para conexões de replicação usando qualquer um dos seguintes métodos:

Defina o parâmetro rds.iam_auth_for_replication para 0 no grupo de parâmetros do cluster do banco de dados.
Você também pode desabilitar qualquer um desses recursos em seu cluster de banco de dados do Aurora PostgreSQL:
- Desabilitar a replicação lógica definindo o parâmetro rds.logical_replication como 0
- Desabilitar a autenticação do IAM

Quando você desabilita o recurso, as conexões de replicação podem usar senhas de banco de dados para autenticação, se configuradas.

nota

As conexões de replicação para usuários sem o perfil rds_iam podem usar a autenticação por senha mesmo quando o recurso está habilitado.

Limitações e considerações

As limitações e as considerações se aplicam quando você usa a autenticação do IAM para conexões de replicação.

A autenticação do IAM para conexões de replicação está disponível somente para as versões 11 e posterior do Aurora PostgreSQL.
O publicador deve oferecer suporte à autenticação do IAM para conexões de replicação.
Por padrão, o token de autenticação do IAM expira após 15 minutos. Talvez seja necessário atualizar as conexões de replicação de longa duração antes que o token expire.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplo: replicação lógica usando o Aurora PostgreSQL e o AWS DMS

Encaminhamento de gravação local no Aurora PostgreSQL