Перейти к основному содержанию
В этой статье показано, как клиенты ClickPipes могут использовать Ролевое управление доступом для аутентификации при подключении к Amazon Aurora и RDS и безопасного доступа к своим базам данных.
Для AWS RDS Postgres и Aurora Postgres из-за ограничений AWS IAM DB-аутентификации можно запускать только ClickPipes Initial Load Only.Для MySQL и MariaDB это ограничение не действует, и можно запускать ClickPipes как Initial Load Only, так и CDC.

Настройка

Получение ARN роли IAM сервиса ClickHouse

1 - Войдите в свою учетную запись ClickHouse Cloud. 2 - Выберите сервис ClickHouse, для которого хотите создать интеграцию 3 - Откройте вкладку Settings 4 - Прокрутите страницу вниз до раздела Network security information в нижней части страницы 5 - Скопируйте значение ID сервисной роли (IAM) для этого сервиса, как показано ниже. Обозначим это значение как {ClickHouse_IAM_ARN}. Эта роль IAM будет использоваться для доступа к вашему экземпляру RDS/Aurora.

Настройка экземпляра RDS/Aurora

Включение IAM DB-аутентификации

  1. Войдите в свою учетную запись AWS и перейдите к экземпляру RDS, который хотите настроить.
  2. Нажмите кнопку Modify.
  3. Прокрутите страницу вниз до раздела Database authentication.
  4. Включите параметр Password and IAM database authentication.
  5. Нажмите кнопку Continue.
  6. Проверьте изменения и выберите параметр Apply immediately.

Получение Resource ID для RDS/Aurora

  1. Войдите в свою учетную запись AWS и перейдите к экземпляру RDS или кластеру Aurora, который нужно настроить.
  2. Откройте вкладку Configuration.
  3. Обратите внимание на значение Resource ID. Для RDS оно должно выглядеть как db-xxxxxxxxxxxxxx, а для кластера Aurora — как cluster-xxxxxxxxxxxxxx. Обозначим это значение как {RDS_RESOURCE_ID}. Этот идентификатор ресурса будет использоваться в политике IAM для предоставления доступа к экземпляру RDS.

Настройка пользователя базы данных

PostgreSQL
  1. Подключитесь к своему экземпляру RDS/Aurora и создайте нового пользователя базы данных с помощью следующей команды: 
    CREATE USER clickpipes_iam_user; 
GRANT rds_iam TO clickpipes_iam_user;
  2. Выполните остальные шаги из руководства по настройке источника PostgreSQL, чтобы настроить экземпляр RDS для ClickPipes.
MySQL / MariaDB
  1. Подключитесь к своему экземпляру RDS/Aurora и создайте нового пользователя базы данных следующей командой: 
    CREATE USER 'clickpipes_iam_user' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';
  2. Выполните остальные шаги из руководства по настройке источника MySQL, чтобы настроить экземпляр RDS/Aurora для ClickPipes.

Настройка роли IAM

Создайте роль IAM вручную.

1 - Войдите в свою учетную запись AWS в браузере под пользователем IAM, у которого есть разрешения на создание ролей IAM и управление ими. 2 - Перейдите в консоль сервиса IAM 3 - Создайте новую роль IAM со следующими политиками IAM и доверия. Политика доверия (замените {ClickHouse_IAM_ARN} на ARN роли IAM, связанной с вашим экземпляром ClickHouse): 
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "{ClickHouse_IAM_ARN}"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
Политика IAM (замените {RDS_RESOURCE_ID} на Resource ID вашего экземпляра RDS). Также обязательно замените {RDS_REGION} на регион вашего экземпляра RDS/Aurora, а {AWS_ACCOUNT} — на идентификатор вашей учетной записи AWS: 
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds-db:connect"
      ],
      "Resource": [
        "arn:aws:rds-db:{RDS_REGION}:{AWS_ACCOUNT}:dbuser:{RDS_RESOURCE_ID}/clickpipes_iam_user"
      ]
    }
  ]
}
4 - После создания скопируйте новый ARN роли IAM. Он потребуется для безопасного доступа из ClickPipes к вашей базе данных AWS. Обозначим его как {RDS_ACCESS_IAM_ROLE_ARN}. Теперь вы можете использовать эту роль IAM для аутентификации из ClickPipes в вашем экземпляре RDS/Aurora.
Последнее изменение 10 июня 2026 г.