Requisitos previos Habilitación de la autenticación de IAM Desactivación de la autenticación de IAM Limitaciones

Configuración de la autenticación de IAM para conexiones de replicación lógica

A partir de las versiones 11 y posteriores de Aurora PostgreSQL, puede usar la autenticación AWS Identity and Access Management (IAM) para las conexiones de replicación. Esta característica mejora la seguridad al permitirle administrar el acceso a la base de datos mediante roles de IAM en lugar de contraseñas. Funciona por clúster y sigue el mismo modelo de seguridad que la autenticación de IAM estándar.

La autenticación de IAM para conexiones de replicación es una característica opcional. Para habilitarla, establezca el parámetro rds.iam_auth_for_replication en 1 en el grupo de parámetros del clúster de la base de datos. Como se trata de un parámetro dinámico, el clúster de base de datos no necesita reiniciarse, lo que le permite aprovechar la autenticación de IAM con las cargas de trabajo existentes sin tiempo de inactividad. Antes de habilitar esta característica, asegúrese de que cumple los Requisitos previos mostrados a continuación.

Requisitos previos

Para utilizar la autenticación de IAM para conexiones de replicación, debe cumplir todos los siguientes requisitos:

El clúster de base de datos de Aurora PostgreSQL debe ser la versión 11 o posterior.
En el clúster de base de datos de Aurora PostgreSQL del publicador:
- Habilite la autenticación de bases de datos de IAM.
  
  Para obtener más información, consulte Activación y desactivación de la autenticación de bases de datos de IAM.
- Habilite la replicación lógica estableciendo el parámetro rds.logical_replication en 1.
  
  Para obtener más información, consulte Configuración de la replicación lógica para el clúster de base de datos de Aurora PostgreSQL.
En la replicación lógica, el publicador es el clúster de base de datos de Aurora PostgreSQL de origen que envía los datos a los clústeres de suscriptores. Para obtener más información, consulte Información general de la replicación lógica de PostgreSQL con Aurora.

nota

La autenticación de IAM y la replicación lógica deben estar habilitadas en el clúster de base de datos de Aurora PostgreSQL del publicador. Si ninguna de las dos está habilitada, no podrá utilizar la autenticación de IAM para conexiones de replicación.

Habilitación de la autenticación de IAM para las conexiones de replicación

Realice los siguientes pasos antes de habilitar la autenticación de IAM para la conexión de replicación.

Compruebe que el clúster de base de datos de Aurora PostgreSQL cumpla todos los requisitos previos para la autenticación de IAM con conexiones de replicación. Para obtener más información, consulte Requisitos previos.
Configure el parámetro rds.iam_auth_for_replication modificando el grupo de parámetros de clúster de base de datos:
- Establezca el parámetro rds.iam_auth_for_replication como 1. Este parámetro dinámico no requiere un reinicio.
Conéctese a la base de datos y conceda los roles necesarios al usuario de replicación:

Los siguientes comandos SQL otorgan los roles necesarios para habilitar la autenticación de IAM para las conexiones de replicación:
```
-- Grant IAM authentication role
GRANT rds_iam TO replication_user_name;
-- Grant replication privileges
ALTER USER replication_user_name WITH REPLICATION;
```

Tras completar estos pasos, el usuario especificado debe usar la autenticación de IAM para las conexiones de replicación.

importante

Al habilitar la característica, los usuarios con los roles rds_iam y rds_replication deben usar la autenticación de IAM para las conexiones de replicación. Esto se aplica si los roles se asignan directamente al usuario o si se heredan a través de otros roles.

Desactivación de la autenticación de IAM para las conexiones de replicación

Puede desactivar la autenticación de IAM para conexiones de replicación mediante cualquiera de los siguientes métodos:

Establecimiento del parámetro rds.iam_auth_for_replication en 0 en el grupo de parámetro de clúster de base de datos
Otra opción, puede desactivar cualquiera de estas características en el clúster de base de datos de Aurora PostgreSQL:
- Desactivación de la replicación lógica estableciendo el parámetro rds.logical_replication en 0
- Desactivación de la autenticación de IAM

Al desactivar la característica, las conexiones de replicación pueden usar contraseñas de bases de datos para la autenticación si están configuradas.

nota

Las conexiones de replicación para los usuarios sin el rol rds_iam pueden usar la autenticación por contraseña incluso cuando la característica está habilitada.

Limitaciones y consideraciones

Las limitaciones y consideraciones siguientes se aplican cuando se use la autenticación de IAM para las conexiones de replicación.

La autenticación de IAM para las conexiones de replicación solo está disponible para las versiones 11 y posteriores de Aurora PostgreSQL.
El publicador debe admitir la autenticación de IAM para las conexiones de replicación.
De forma predeterminada, el token de autenticación de IAM caduca a los 15 minutos. Es posible que tenga que actualizar las conexiones de replicación de larga duración antes de que caduque el token.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplo: replicación lógica mediante Aurora PostgreSQL y AWS DMS

Reenvío de escritura local en Aurora PostgreSQL