# Configurar a autenticação do IAM para conexões de replicação lógica
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth"></a>

A partir das versões 11 e posterior do Aurora PostgreSQL, você pode usar a autenticação do AWS Identity and Access Management (IAM) para conexões de replicação. Esse recurso aprimora a segurança ao permitir que você gerencie o acesso ao banco de dados usando perfis do IAM em vez de senhas. Ele funciona em nível de cluster e segue o mesmo modelo de segurança da autenticação padrão do IAM.

A autenticação do IAM para conexões de replicação é um atributo opcional. Para habilitá-lo, defina o parâmetro `rds.iam_auth_for_replication` como `1` no seu grupo de parâmetros do cluster de banco de dados. Como esse é um parâmetro dinâmico, seu cluster de banco de dados não precisa ser reiniciado, permitindo que você aproveite a autenticação do IAM com workloads existentes sem tempo de inatividade. Antes de habilitar esse atributo, você deve atender aos [Pré-requisitos](#AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites) listados abaixo.

## Pré-requisitos
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites"></a>

Para usar a autenticação do IAM para conexões de replicação, você precisa cumprir todos os requisitos abaixo:
+ Seu cluster de banco de dados do Aurora PostgreSQL deve ser da versão 11 ou posterior.
+ No cluster de banco de dados do Aurora PostgreSQL do publicador: 
  + Habilite a autenticação do banco de dados do IAM.

    Para obter mais informações, consulte [Habilitar e desabilitar a autenticação de banco de dados do IAM](UsingWithRDS.IAMDBAuth.Enabling.md).
  + Habilite a replicação lógica definindo o parâmetro `rds.logical_replication` como `1`.

    Para obter mais informações, consulte [Configurar a replicação lógica para seu cluster de banco de dados do Aurora PostgreSQL](AuroraPostgreSQL.Replication.Logical.Configure.md).

  Na replicação lógica, o publicador é o cluster de banco de dados do Aurora PostgreSQL de origem que envia dados aos clusters de assinantes. Para acessar mais informações, consulte [Visão geral da replicação lógica do PostgreSQL com o Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Replication.Logical.html).

**nota**  
Tanto a autenticação do IAM quanto a replicação lógica devem estar habilitadas no cluster de banco de dados do Aurora PostgreSQL do publicador. Se nenhuma delas estiver habilitada, você não poderá usar a autenticação do IAM para conexões de replicação.

## Habilitar a autenticação do IAM para conexões de replicação
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-enabling"></a>

Conclua as etapas a seguir para habilitar a autenticação do IAM para a conexão de replicação.

1. Verifique se seu cluster de banco de dados do Aurora PostgreSQL atende a todos os pré-requisitos para autenticação do IAM com conexões de replicação. Para obter detalhes, consulte [Pré-requisitos](#AuroraPostgreSQL.Replication.Logical.IAM-auth-prerequisites).

1. Configure o parâmetro `rds.iam_auth_for_replication` modificando o grupo de parâmetros do cluster de banco de dados:
   + Defina o parâmetro `rds.iam_auth_for_replication` como `1`. Esse parâmetro dinâmico não exige reinicialização.

1. Conecte-se ao seu banco de dados e conceda os perfis necessários ao seu usuário de replicação:

   Os comandos SQL a seguir concedem os perfis necessários para habilitar a autenticação do IAM para conexões de replicação:

   ```
   -- Grant IAM authentication role
   GRANT rds_iam TO replication_user_name;
   -- Grant replication privileges
   ALTER USER replication_user_name WITH REPLICATION;
   ```

Depois de concluir essas etapas, o usuário especificado deve usar a autenticação do IAM para conexões de replicação.

**Importante**  
Quando você habilita o recurso, os usuários com os perfis `rds_iam` e `rds_replication` devem usar a autenticação do IAM para conexões de replicação. Isso se aplicará se os perfis forem atribuídos diretamente ao usuário ou herdados por meio de outros perfis.

## Desabilitar a autenticação do IAM para conexões de replicação
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-disabling"></a>

Você pode desabilitar a autenticação do IAM para conexões de replicação usando qualquer um dos seguintes métodos:
+ Defina o parâmetro `rds.iam_auth_for_replication` para `0` no grupo de parâmetros do cluster do banco de dados.
+ Você também pode desabilitar qualquer um desses recursos em seu cluster de banco de dados do Aurora PostgreSQL:
  + Desabilitar a replicação lógica definindo o parâmetro `rds.logical_replication` como `0`
  + Desabilitar a autenticação do IAM

Quando você desabilita o recurso, as conexões de replicação podem usar senhas de banco de dados para autenticação, se configuradas.

**nota**  
As conexões de replicação para usuários sem o perfil `rds_iam` podem usar a autenticação por senha mesmo quando o recurso está habilitado.

## Limitações e considerações
<a name="AuroraPostgreSQL.Replication.Logical.IAM-auth-limitations"></a>

As limitações e as considerações se aplicam quando você usa a autenticação do IAM para conexões de replicação.
+ A autenticação do IAM para conexões de replicação está disponível somente para as versões 11 e posterior do Aurora PostgreSQL.
+ O publicador deve oferecer suporte à autenticação do IAM para conexões de replicação.
+ Por padrão, o token de autenticação do IAM expira após 15 minutos. Talvez seja necessário atualizar as conexões de replicação de longa duração antes que o token expire.