논리적 복제 연결을 위한 IAM 인증 구성 - Amazon Relational Database Service
사전 조건복제 연결에 대한 IAM 인증 활성화복제 연결에 대한 IAM 인증 비활성화제한 사항 및 고려 사항

논리적 복제 연결을 위한 IAM 인증 구성

PostgreSQL용 RDS 버전 11 이상부터는 복제 연결에 AWS Identity and Access Management(IAM) 인증을 사용할 수 있습니다. 이 기능을 사용하면 암호 대신 IAM 역할을 사용하여 데이터베이스 액세스를 관리할 수 있으므로 보안이 강화됩니다. 이 기능은 클러스터 및 인스턴스 수준 모두에서 작동하며 표준 IAM 인증과 동일한 보안 모델을 따릅니다.

복제 연결을 위한 IAM 인증은 옵트인 기능입니다. 활성화하려면 DB 클러스터 또는 DB 파라미터 그룹의 rds.iam_auth_for_replication 파라미터를 1로 설정합니다. 동적 파라미터이므로 DB 클러스터 또는 인스턴스를 다시 시작할 필요가 없으므로, 가동 중지 시간 없이 기존 워크로드에서 IAM 인증을 활용할 수 있습니다. 이 기능을 활성화하기 전에 아래 나열된 사전 조건을 충족해야 합니다.

사전 조건

복제 연결에 IAM 인증을 사용하려면 다음 요구 사항을 모두 충족해야 합니다.

  • RDS for PostgreSQL DB 인스턴스는 버전 11 이상이어야 합니다.

  • 게시자 RDS for PostgreSQL DB 인스턴스에서:

논리적 복제에서 게시자는 구독자 데이터베이스로 데이터를 전송하는 소스 RDS for PostgreSQL 데이터베이스입니다. 자세한 내용은 Amazon RDS for PostgreSQL에 대한 논리적 복제 수행 섹션을 참조하세요.

참고

게시자 RDS for PostgreSQL DB 인스턴스에서 IAM 인증과 논리적 복제가 모두 활성화되어 있어야 합니다. 둘 중 하나가 활성화되지 않은 경우 복제 연결에 IAM 인증을 사용할 수 없습니다.

복제 연결에 대한 IAM 인증 활성화

다음 단계를 완료하여 복제 연결에 대한 IAM 인증을 활성화합니다.

복제 연결에 대한 IAM 인증 활성화

  1. RDS for PostgreSQL DB 클러스터 또는 인스턴스가 복제 연결을 사용한 IAM 인증에 필요한 모든 필수 조건을 충족하는지 확인합니다. 자세한 내용은 사전 조건을 참조하세요.

  2. RDS for PostgreSQL 설정을 기반으로 rds.iam_auth_for_replication 파라미터를 구성합니다.

    • RDS for PostgreSQL DB 인스턴스의 경우: DB 파라미터 그룹을 수정합니다.

    • 다중 AZ 클러스터의 경우: DB 클러스터 파라미터 그룹을 수정합니다.

    rds.iam_auth_for_replication을 1로 설정합니다. 재부팅할 필요 없이 즉시 적용되는 동적 파라미터입니다.

    참고

    다중 AZ 클러스터는 DB 클러스터 파라미터 그룹만 사용합니다. 다중 AZ 클러스터에서는 개별 인스턴스 파라미터 그룹을 수정할 수 없습니다.

  3. 데이터베이스에 연결하고 복제 사용자에게 필요한 역할을 부여합니다.

    다음 SQL 명령은 복제 연결에 대한 IAM 인증을 활성화하는 데 필요한 역할을 부여합니다.

    
-- Grant IAM authentication role
GRANT rds_iam TO replication_user_name;

-- Grant replication privileges
ALTER USER replication_user_name WITH REPLICATION;

    이 단계를 완료한 후, 지정된 사용자는 복제 연결에 IAM 인증을 사용해야 합니다.

    중요

    기능을 활성화할 때 rds_iamrds_replication 역할이 모두 있는 사용자는 복제 연결에 IAM 인증을 사용해야 합니다. 이는 역할이 사용자에게 직접 할당되는지 아니면 다른 역할을 통해 상속되는지에 관계없이 적용됩니다.

복제 연결에 대한 IAM 인증 비활성화

다음 방법 중 하나를 사용하여 복제 연결에 대한 IAM 인증을 비활성화할 수 있습니다.

  • DB 인스턴스의 경우 DB 파라미터 그룹에서 rds.iam_auth_for_replication 파라미터를 0으로 설정하고 다중 AZ 클러스터의 경우 DB 클러스터 파라미터 그룹에서 파라미터를 0으로 설정합니다.

  • 또는 RDS for PostgreSQL DB 클러스터 또는 인스턴스에서 이러한 기능 중 하나를 비활성화할 수도 있습니다.

    • rds.logical_replication 파라미터를 0으로 설정하여 논리적 복제 비활성화

    • IAM 인증 비활성화

기능을 비활성화하면 복제 연결이 인증에 데이터베이스 암호를 사용할 수 있습니다.

참고

rds_iam 역할이 없는 사용자의 복제 연결은 기능이 활성화된 경우에도 암호 인증을 사용할 수 있습니다.

제한 사항 및 고려 사항

논리적 복제 연결에 IAM 인증을 사용할 때 다음과 같은 제한 사항 및 고려 사항을 염두에 둡니다.

  • 이 기능은 RDS for PostgreSQL 버전 11 이상에서만 사용할 수 있습니다.

  • 게시자는 복제 연결에 대한 IAM 인증을 지원해야 합니다.

  • IAM 인증 토큰은 기본적으로 15분 후에 만료됩니다. 토큰이 만료되기 전에 장기 실행 복제 연결을 새로 고쳐야 할 수 있습니다.