以下是问题的快速摘要。阅读完整的描述部分以了解基本细节。

简明描述:

假设您已经有一个 IAM 用户并且该用户已经能够访问其他 AWS 服务，例如 S3、CloudFront、ECS、EC2...

假设我们需要为用户提供对 RDS 集群的只读访问权限，并设置 IAM 数据库身份验证。

我们按照官方指南在我们的本地系统中执行了所有提到的步骤，它运行良好，我们能够为 db_user 生成正确的身份验证 token 。

然而，有趣的地方在于..当用户尝试从他们的本地计算机为 db_user 帐户生成 token 时..用户将被拒绝访问。

完整描述:

设置:

我的 RDS 集群实例运行 Aurora MySQL 引擎。 引擎版本:5.6.10a

我一直在关注 How do I allow users to connect to Amazon RDS with IAM credentials? 上的 AWS 知识中心指南

该指南没有明确提及，但在生成身份验证 token 时，AWS CLI 使用本地存储的 IAM 凭证来签署请求。

我想强调的是，在下面提到的片段中，admin 是 AWS CLI 为我的管理员 IAM 用户存储的配置文件名称，而 db_user 是IAM 用户(具有 rds-db:connect 权限)。

TOKEN="$(aws --profile admin rds generate-db-auth-token -h.. .. .. -u db_user)

使用上面的代码片段，我能够使用生成的 token 进行身份验证并连接到集群。

如果未提及--profile 属性，它将读取保存在凭据文件中的默认配置文件。

问题:

我没有使用 --profile admin，而是希望使用已经存在的非管理 IAM 配置文件来生成身份验证 token 。

例如，假设名为 developer 的 IAM 用户具有 RDS 只读权限，并且凭证本地存储在配置文件 rds_read_only 下

TOKEN="$(aws --profile rds_read_only rds generate-db-auth-token -h.. .. .. -u db_user)

如果我使用上面的 token ，我会收到以下错误:

错误 1045 (28000):用户 'db_user'@'ip' 的访问被拒绝(使用密码:YES)

经过数小时的故障排除，我得出结论，我的 rds_read_only 配置文件无法生成有效的身份验证 token ，这可能是因为 IAM 用户 developer 缺少一些必需的策略。

我尝试将 RDS 和 RDS Data API 下可用的所有策略(单独以及组合)附加到 IAM 用户 developer，没有运气好的话。如果我将 AdministrativeAccess 策略附加到 IAM 用户 developer，只有这样它才能成功生成 token 。

问题:

非管理员 IAM 用户成功生成身份验证 token 所需的强制性策略是什么？

最佳答案

我在 AWS 博客中看到了您的问题。

1. 您需要创建一个 IAM 策略来定义对您的 AWS RDS 实例的访问。检查这个 docs

   { "版本": "2012-10-17", “陈述”: [ { "效果": "允许", “行动”: [ “rds-db:连接” ], “资源”:[ “arn:aws:rds-db:us-east-2:1234567890:dbuser:/” ] } ]

2. 根据使用 IAM 插件的说明在 RDS 数据库实例中创建用户。检查这个 docs

3. 创建 token 检查这个 docs

4. 我发现这个构建 JDBC jar 以允许 IAM 身份验证的 nice plugin。

关于amazon-web-services - 错误 1045 (28000) : Access denied for user 'db_user' @'ip' (using password: YES) while connecting to a RDS DB instance using IAM DB Authentication，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/61094432/