Configuración de la autenticación de IAM para conexiones de replicación lógica - Amazon Relational Database Service
Requisitos previosHabilitación de la autenticación de IAM para las conexiones de replicaciónDesactivación de la autenticación de IAM para las conexiones de replicaciónLimitaciones y consideraciones

Configuración de la autenticación de IAM para conexiones de replicación lógica

A partir de las versiones 11 y superiores de RDS para PostgreSQL, puede usar la autenticación AWS Identity and Access Management (IAM) para las conexiones de replicación. Esta característica mejora la seguridad al permitirle administrar el acceso a la base de datos mediante roles de IAM en lugar de contraseñas. Funciona por clúster y detalle de la instancia y sigue el mismo modelo de seguridad que la autenticación de IAM estándar.

La autenticación de IAM para conexiones de replicación es una característica opcional. Para habilitarla, establezca el parámetro rds.iam_auth_for_replication en 1 en el grupo de parámetros del clúster de la base de datos o de base de datos. Como se trata de un parámetro dinámico, el clúster o instancia de base de datos no necesita reiniciarse, lo que le permite aprovechar la autenticación de IAM con las cargas de trabajo existentes sin tiempo de inactividad. Antes de habilitar esta característica, asegúrese de que cumple los requisitos previos mostrados a continuación.

Requisitos previos

Para utilizar la autenticación de IAM para conexiones de replicación, debe cumplir todos los siguientes requisitos:

  • Las instancia de base de datos de RDS para PostgreSQL debe ser de versión 11 o posterior.

  • En su instancia de base de datos de RDS para PostgreSQL del publicador:

En la replicación lógica, el publicador es la base de datos de RDS para PostgreSQL de origen que envía los datos a los clústeres de suscriptores. Para obtener más información, consulte Replicación lógica para Amazon RDS para PostgreSQL.

nota

La autenticación de IAM y la replicación lógica deben estar habilitadas en la instancia de base de datos de RDS para Aurora PostgreSQL del publicador. Si ninguna de las dos está habilitada, no podrá utilizar la autenticación de IAM para conexiones de replicación.

Habilitación de la autenticación de IAM para las conexiones de replicación

Realice los siguientes pasos antes de habilitar la autenticación de IAM para la conexión de replicación.

Habilitación de la autenticación de IAM para las conexiones de replicación

  1. Compruebe que el clúster o instancia de base de datos de RDS para PostgreSQL cumpla todos los requisitos previos para la autenticación de IAM con conexiones de replicación. Para obtener más información, consulte Requisitos previos.

  2. Configure el parámetro rds.iam_auth_for_replication en función de la configuración de RDS para PostgreSQL:

    • Para instancias de base de datos de RDS para PostgreSQL: modifique su grupo de parámetros de base de datos.

    • Para clústeres multi-AZ: modifique el grupo de parámetros de clúster de base de datos.

    Establezca rds.iam_auth_for_replication en 1. Este es un parámetro dinámico que se aplica de forma inmediata sin necesidad de reiniciar.

    nota

    Los clústeres de multi-AZ utilizan solo grupos de parámetros de clúster de base de datos. Los grupos de parámetros de instancias individuales no se pueden modificar en los clústeres de multi-AZ.

  3. Conéctese a la base de datos y conceda los roles necesarios al usuario de replicación:

    Los siguientes comandos SQL otorgan los roles necesarios para habilitar la autenticación de IAM para las conexiones de replicación:

    
-- Grant IAM authentication role
GRANT rds_iam TO replication_user_name;

-- Grant replication privileges
ALTER USER replication_user_name WITH REPLICATION;

    Tras completar estos pasos, el usuario especificado debe usar la autenticación de IAM para las conexiones de replicación.

    importante

    Al habilitar la característica, los usuarios con los roles rds_iam y rds_replication deben usar la autenticación de IAM para las conexiones de replicación. Esto se aplica si los roles se asignan directamente al usuario o si se heredan a través de otros roles.

Desactivación de la autenticación de IAM para las conexiones de replicación

Puede desactivar la autenticación de IAM para conexiones de replicación mediante cualquiera de los siguientes métodos:

  • Defina el parámetro rds.iam_auth_for_replication en 0 en el grupo de parámetros de base de datos para las instancias de base de datos o en el grupo de parámetros del clúster de base de datos para los clústeres multi-AZ.

  • Otra opción, puede desactivar cualquiera de estas características en el clúster o la instancia de base de datos de RDS para PostgreSQL:

    • Desactivación de la replicación lógica estableciendo el parámetro rds.logical_replication en 0

    • Desactivación de la autenticación de IAM

Al desactivar la característica, las conexiones de replicación pueden usar contraseñas de bases de datos para la autenticación.

nota

Las conexiones de replicación para los usuarios sin el rol rds_iam pueden usar la autenticación por contraseña incluso cuando la característica está habilitada.

Limitaciones y consideraciones

Tenga en cuenta las limitaciones y consideraciones siguientes al usar la autenticación de IAM para las conexiones de replicación lógicas:

  • Esta característica solo está disponible para las versiones 11 y superiores de RDS para PostgreSQL.

  • El publicador debe admitir la autenticación de IAM para las conexiones de replicación.

  • De forma predeterminada, el token de autenticación de IAM caduca a los 15 minutos. Es posible que tenga que actualizar las conexiones de replicación de larga duración antes de que caduque el token.