以下是问题的快速摘要。阅读完整的描述部分以了解基本细节。
假设您已经有一个 IAM 用户并且该用户已经能够访问其他 AWS 服务,例如 S3、CloudFront、ECS、EC2...
假设我们需要为用户提供对 RDS 集群的只读访问权限,并设置 IAM 数据库身份验证。
我们按照官方指南在我们的本地系统中执行了所有提到的步骤,它运行良好,我们能够为 db_user
生成正确的身份验证 token 。
然而,有趣的地方在于..当用户尝试从他们的本地计算机为 db_user
帐户生成 token 时..用户将被拒绝访问。
我的 RDS 集群实例运行 Aurora MySQL 引擎。 引擎版本:5.6.10a
我一直在关注 How do I allow users to connect to Amazon RDS with IAM credentials? 上的 AWS 知识中心指南
该指南没有明确提及,但在生成身份验证 token 时,AWS CLI 使用本地存储的 IAM 凭证来签署请求。
我想强调的是,在下面提到的片段中,admin 是 AWS CLI 为我的管理员 IAM 用户存储的配置文件名称,而 db_user 是IAM 用户(具有 rds-db:connect
权限)。
TOKEN="$(aws --profile admin rds generate-db-auth-token -h.. .. .. -u db_user)
使用上面的代码片段,我能够使用生成的 token 进行身份验证并连接到集群。
如果未提及--profile
属性,它将读取保存在凭据文件中的默认配置文件。
我没有使用 --profile admin
,而是希望使用已经存在的非管理 IAM 配置文件来生成身份验证 token 。
例如,假设名为 developer 的 IAM 用户具有 RDS 只读权限,并且凭证本地存储在配置文件 rds_read_only 下
TOKEN="$(aws --profile rds_read_only rds generate-db-auth-token -h.. .. .. -u db_user)
如果我使用上面的 token ,我会收到以下错误:
错误 1045 (28000):用户 'db_user'@'ip' 的访问被拒绝(使用密码:YES)
经过数小时的故障排除,我得出结论,我的 rds_read_only 配置文件无法生成有效的身份验证 token ,这可能是因为 IAM 用户 developer 缺少一些必需的策略。
我尝试将 RDS
和 RDS Data API
下可用的所有策略(单独以及组合)附加到 IAM 用户 developer,没有运气好的话。如果我将 AdministrativeAccess
策略附加到 IAM 用户 developer,只有这样它才能成功生成 token 。
非管理员 IAM 用户成功生成身份验证 token 所需的强制性策略是什么?
最佳答案
我在 AWS 博客中看到了您的问题。
您需要创建一个 IAM 策略来定义对您的 AWS RDS 实例的访问。检查这个 docs
{ "版本": "2012-10-17", “陈述”: [ { "效果": "允许", “行动”: [ “rds-db:连接” ], “资源”:[ “arn:aws:rds-db:us-east-2:1234567890:dbuser:/” ] } ]
根据使用 IAM 插件的说明在 RDS 数据库实例中创建用户。检查这个 docs
创建 token 检查这个 docs
关于amazon-web-services - 错误 1045 (28000) : Access denied for user 'db_user' @'ip' (using password: YES) while connecting to a RDS DB instance using IAM DB Authentication,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61094432/
相关文章:
google-cloud-platform - GCP Bigquery 通过 Terraform
javascript - 本地加载keras模型到tensorflow.js
javascript - 调整大小并使 PotlyJS 的 fiddle 图表响应
c# - IOptions 验证不会触发,直到我在 Asp.Net Core 3 中显式调用具有属性
react-native - react native 文本输入键盘如何显示点而不是逗号?
python - 带有 GEKKO 的轨迹规划器无法处理给定的目标速度
node.js - Angular 9 Node.js AWS - 从 'aws-sdk' 添加导入
javascript - react 导航和状态栏颜色在 View 更改时闪烁