Usando a autenticação do IAM para o endpoint do Amazon RDS em AWS DMS - AWSDatabase Migration Service
Configurando a autenticação do IAM para o endpoint do Amazon RDS em AWS DMSLimitações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando a autenticação do IAM para o endpoint do Amazon RDS em AWS DMS

AWSA autenticação do banco de dados Identity and Access Management (IAM) fornece segurança aprimorada para seus bancos de dados do Amazon RDS gerenciando o acesso ao AWS banco de dados por meio de credenciais do IAM. Em vez de usar senhas de banco de dados tradicionais, a autenticação do IAM gera tokens de autenticação de curta duração, válidos por 15 minutos, usando credenciais da AWS. Essa abordagem melhora significativamente a segurança, eliminando a necessidade de armazenar senhas de banco de dados no código da aplicação, reduzindo o risco de exposição de credenciais e fornecendo gerenciamento centralizado de acesso por meio do IAM. Ele também simplifica o gerenciamento de acesso ao aproveitar as funções e políticas existentes AWS do IAM, permitindo que você controle o acesso ao banco de dados usando a mesma estrutura do IAM que você usa para outros AWS serviços.

AWS DMSagora oferece suporte à autenticação do IAM para instâncias de replicação que executam o DMS versão 3.6.1 ou posterior ao se conectar a endpoints MySQL, PostgreSQL, Aurora PostgreSQL, Aurora MySQL ou MariaDB no Amazon RDS. Ao criar um endpoint para esses mecanismos, você pode selecionar a autenticação do IAM e especificar um perfil do IAM em vez de fornecer credenciais de banco de dados. Essa integração aprimora a segurança ao eliminar a necessidade de gerenciar e armazenar senhas de banco de dados para tarefas de migração.

Configurando a autenticação do IAM para o endpoint do Amazon RDS em AWS DMS

Ao criar um endpoint, você pode configurar a autenticação do IAM para seu banco de dados Amazon RDS. Para configurar a autenticação do IAM, faça o seguinte:

  1. O Amazon RDS e o usuário do banco de dados devem ter a autenticação do IAM habilitada. Para ter informações, consulte Habilitar e desabilitar a autenticação de banco de dados do IAM no Guia do usuário do Amazon Relational Database Service.

  2. Navegue até o console do IAM e crie um perfil do IAM com as políticas abaixo:

    Política

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "rds-db:connect"
            ],
            "Resource": "*"
        }
    ]
}

    Política de confiança:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dms.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Durante a configuração do endpoint no console do AWS DMS, navegue até a seção Acesso ao banco de dados do endpoint e selecione Autenticação do IAM.

  4. No menu suspenso Perfil do IAM para autenticação do banco de dados do RDS, selecione a perfil do IAM com as permissões apropriadas para acessar o banco de dados.

    Para ter mais informações, consulte Criar endpoints de origem e de destino.

  1. O Amazon RDS e o usuário do banco de dados devem ter a autenticação do IAM habilitada. Para ter informações, consulte Habilitar e desabilitar a autenticação de banco de dados do IAM no Guia do usuário do Amazon Relational Database Service.

  2. Navegue até a AWS CLI, crie uma função do IAM e permita que o DMS assuma a função:

    Política:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "rds-db:connect"
            ],
            "Resource": "*"
        }
    ]
}

    Política de confiança:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dms.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Execute o comando a seguir para importar o certificado e baixar o arquivo PEM. Para ter mais informações, consulte Baixar pacotes de certificados para Amazon RDS no Guia do usuário do Amazon Relational Database Service. 

    aws dms import-certificate --certificate-identifier rdsglobal --certificate-pem file://~/global-bundle.pem

  4. Execute os seguintes comandos para criar um endpoint do IAM:

    • Para endpoints PostgreSQL/Aurora do PostgreSQL (sslmodequando está definido required como--certificate-arn, o sinalizador não é obrigatório): 

      aws dms create-endpoint --endpoint-identifier <endpoint-name> --endpoint-type <source/target> --engine-name <postgres/aurora-postgres> --username <db username with iam auth privileges> --server-name <db server name> --port <port number> --ssl-mode <required/verify-ca/verify-full> --postgre-sql-settings "{\"ServiceAccessRoleArn\": \"role arn created from step 2 providing permissions for iam authentication\", \"AuthenticationMethod\": \"iam\", \"DatabaseName\": \"database name\"}" --certificate-arn <if sslmode is verify-ca/verify full use cert arn generated in step 3, otherwise this parameter is not required>

    • Para endpoints do MySQL, MariaDB ou Aurora para MySQL: 

      aws dms create-endpoint --endpoint-identifier <endpoint-name> --endpoint-type <source/target> --engine-name <mysql/mariadb/aurora> --username <db username with iam auth privileges> --server-name <db server name> --port <port number> --ssl-mode <verify-ca/verify-full> --my-sql-settings "{\"ServiceAccessRoleArn\": \"role arn created from step 2 providing permissions for iam authentication\", \"AuthenticationMethod\": \"iam\", \"DatabaseName\": \"database name\"}" --certificate-arn <cert arn from previously imported cert in step 3>

  5. Execute uma conexão de teste na instância de replicação desejada para criar a associação do endpoint da instância e verificar se tudo está configurado corretamente: 

    aws dms test-connection --replication-instance-arn <replication instance arn> --endpoint-arn <endpoint arn from previously created endpoint in step 4>
    nota

    Ao usar a autenticação do IAM, a instância de replicação fornecida na conexão de teste deve estar na AWS DMS versão 3.6.1 ou posterior.

Limitações

AWS DMStem as seguintes limitações ao usar a autenticação do IAM com o endpoint do Amazon RDS:

  • No momento, as instâncias do Amazon RDS para PostgreSQL e do Amazon Aurora para PostgreSQL não comportam conexões de CDC com autenticação do IAM. Para ter mais informações, consulte Limitações para a autenticação de banco de dados do IAM no Guia do usuário do Amazon Relational Database Service.