Configurazione dell'autenticazione IAM per le connessioni di replica logica

A partire dalle versioni 11 e successive di RDS per PostgreSQL, puoi AWS Identity and Access Management utilizzare l'autenticazione (IAM) per le connessioni di replica. Questa funzionalità migliora la sicurezza consentendo di gestire l'accesso al database utilizzando i ruoli IAM anziché le password. Funziona sia a livello di granularità del cluster che dell'istanza e segue lo stesso modello di sicurezza dell'autenticazione IAM standard.

L'autenticazione IAM per le connessioni di replica è una funzionalità opzionale. Per abilitarla, imposta il rds.iam_auth_for_replication parametro su 1 nel cluster DB o nel gruppo di parametri DB. Poiché si tratta di un parametro dinamico, non è necessario riavviare il cluster o l'istanza DB, il che consente di sfruttare l'autenticazione IAM con i carichi di lavoro esistenti senza tempi di inattività. Prima di abilitare questa funzionalità, è necessario soddisfare i prerequisiti elencati di seguito.

Prerequisiti

Per utilizzare l'autenticazione IAM per le connessioni di replica, devi soddisfare tutti i seguenti requisiti:

• L'istanza DB RDS per PostgreSQL deve essere la versione 11 o successiva.

• Nell'istanza DB di Publisher RDS for PostgreSQL:

  • Abilita l'autenticazione del database IAM. Per ulteriori informazioni, consulta Abilitazione e disabilitazione dell’autenticazione database IAM.

  • Abilita la replica logica impostando il rds.logical_replication parametro su 1.

Nella replica logica, l'editore è il database RDS di origine per PostgreSQL che invia i dati al database degli abbonati. Per ulteriori informazioni, consulta Esecuzione della replica logica per Amazon RDS for PostgreSQL.

Nota

Sia l'autenticazione IAM che la replica logica devono essere abilitate sull'istanza DB di Publisher RDS for PostgreSQL. Se una delle due non è abilitata, non è possibile utilizzare l'autenticazione IAM per le connessioni di replica.

Abilitazione dell'autenticazione IAM per le connessioni di replica

Completa i seguenti passaggi per abilitare l'autenticazione IAM per la connessione di replica.

Per abilitare l'autenticazione IAM per le connessioni di replica

1. Verifica che il cluster o l'istanza DB RDS for PostgreSQL soddisfi tutti i prerequisiti per l'autenticazione IAM con connessioni di replica. Per informazioni dettagliate, vedi Prerequisiti.

2. Configura il rds.iam_auth_for_replication parametro in base alla configurazione di RDS per PostgreSQL:

   • Per le istanze DB RDS per PostgreSQL: modifica il gruppo di parametri DB.

   • Per i cluster Multi-AZ: modifica il gruppo di parametri del cluster DB.

   Impostato su rds.iam_auth_for_replication 1. Si tratta di un parametro dinamico che ha effetto immediato senza richiedere il riavvio.

   Nota

   I cluster Multi-AZ utilizzano solo gruppi di parametri del cluster DB. I gruppi di parametri delle singole istanze non possono essere modificati nei cluster Multi-AZ.

3. Connect al database e assegna i ruoli necessari all'utente di replica:

   I seguenti comandi SQL garantiscono i ruoli necessari per abilitare l'autenticazione IAM per le connessioni di replica:

   
   -- Grant IAM authentication role
   GRANT rds_iam TO replication_user_name;
   
   -- Grant replication privileges
   ALTER USER replication_user_name WITH REPLICATION;
   

   Dopo aver completato questi passaggi, l'utente specificato deve utilizzare l'autenticazione IAM per le connessioni di replica.

   Importante

   Quando abiliti la funzionalità, gli utenti con entrambi i rds_iam rds_replication ruoli devono utilizzare l'autenticazione IAM per le connessioni di replica. Ciò vale sia che i ruoli vengano assegnati direttamente all'utente o ereditati da altri ruoli.

Disabilitazione dell'autenticazione IAM per le connessioni di replica

Puoi disabilitare l'autenticazione IAM per le connessioni di replica utilizzando uno dei seguenti metodi:

• Imposta il rds.iam_auth_for_replication parametro su 0 nel gruppo di parametri DB per le istanze DB o nel gruppo di parametri del cluster DB per i cluster Multi-AZ.

• In alternativa, puoi disabilitare una di queste funzionalità sul tuo cluster o istanza DB RDS for PostgreSQL:

  • Disabilita la replica logica impostando il parametro su 0 rds.logical_replication

  • Disabilita l'autenticazione IAM

Quando disabiliti la funzionalità, le connessioni di replica possono utilizzare le password del database per l'autenticazione.

Nota

Le connessioni di replica per gli utenti senza il rds_iam ruolo possono utilizzare l'autenticazione tramite password anche quando la funzionalità è abilitata.

Considerazioni e limitazioni

Prendi in considerazione le seguenti limitazioni e considerazioni quando utilizzi l'autenticazione IAM per le connessioni di replica logica:

• Questa funzionalità è disponibile solo per le versioni 11 e successive di RDS per PostgreSQL.

• L'editore deve supportare l'autenticazione IAM per le connessioni di replica.

• Per impostazione predefinita, il token di autenticazione IAM scade dopo 15 minuti. Potrebbe essere necessario aggiornare le connessioni di replica di lunga durata prima della scadenza del token.