gpt4 book ai didi

python - 如何使用 IAM 数据库身份验证和 Python 在 MySQL RDS 中进行身份验证

转载 作者:可可西里 更新时间:2023-11-01 08:02:25 24 4
gpt4 key购买 nike

我有一个运行 MySQL 5.6.39 的 AWS RDS 数据库,启用了 IAM 数据库身份验证。

首先,我成功完成了Tutorial: Configuring a Lambda Function to Access Amazon RDS in an Amazon VPC这是我下一步的起点。

我想使用 IAM 凭据登录,因此,请遵循 thisthis教程,我做了:

  1. 当我创建 RDS MySQL 实例时,我选择了启用 IAM 数据库身份验证

  2. 创建了一个名为 lambda 的用户:

    CREATE USER 'lambda' IDENTIFIED WITH AWSAuthenticationPlugin as 'RDS';
    GRANT ALL PRIVILEGES ON test_db.* TO 'lambda'@'%';
    FLUSH PRIVILEGES;
  3. 创建了一个 IAM 策略,并将其附加到我用作我的 lambda 函数的执行角色的角色:

    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Effect": "Allow",
    "Action": [
    "rds-db:connect"
    ],
    "Resource": [
    "<DB-ARN>/lambda"
    ]
    }
    ]
    }
  4. 创建了一个 lambda 函数:

    import sys
    import boto3
    import logging
    import pymysql

    #rds settings
    rds_host = "<RDS-ENDPOINT>"
    username = "lambda"
    db_name = "test_db"

    logger = logging.getLogger()
    logger.setLevel(logging.INFO)

    client = boto3.client('rds',region_name='eu-west-2')
    token = client.generate_db_auth_token(rds_host,3306, name)
    ssl = {'ca': 'rds-combined-ca-bundle.pem'}
    logger.info("token: "+ token)

    conn = pymysql.connect(rds_host, user=username, passwd=token, db=db_name, connect_timeout=5, ssl=ssl)

    logger.info("SUCCESS: Connection to RDS mysql instance succeeded")
    def handler(event, context):
    ...
  5. 我收到以下错误:

    error: (1045, "Access denied for user 'lambda'@'<LAMBDA_IP>' (using password: YES)")

在尝试查找 If it was a python error 时,我使用了 AWS CLI,来自附加了策略的 EC2 实例。

  1. 获取 token :

    aws rds generate-db-auth-token --hostname <RDS-ENDPOINT> --port 3306 --username lambda
  2. 使用我在上一步中获得的 token 连接到数据库:

    mysql -h <RDS-ENDPOINT> -u lambda --enable-cleartext-plugin --password='<TOKEN>'
  3. 我遇到了同样的错误:

    mysql: [Warning] Using a password on the command line interface can be insecure.
    ERROR 1045 (28000): Access denied for user 'lambda'@'<EC2_IP>' (using password: YES)

最佳答案

政策不正确!

Resource不是 DB ARN,而是 "arn:aws:rds-db:<AWS_REGION>:<AWS_ACCOUNT_ID>:dbuser:<AWS_DB_RESOURCE_ID>/<DB_USERNAME>"

要从管理控制台获取此信息,您可以转到:

  • AWS_REGION - 区域代码,例如 eu-west-2或任何其他来自 here .
  • AWS_ACCOUNT_ID - 从 Account Settings 中获取.
  • AWS_DB_RESOURCE_ID - 在 Details\Configuration\Resource ID 中找到它在数据库页面中,它以 db- 开头.
  • DB_USERNAME - 是 lambda因为它是在第 2 步中创建的。

顺便说一句,作为Michael - sqlbot在此处和此处指出 answer , token 的生成是本地的,因此获取它不应被解释为获取正确的密码。

关于python - 如何使用 IAM 数据库身份验证和 Python 在 MySQL RDS 中进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50319337/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com