gpt4 book ai didi

amazon-web-services - 允许 ECS 任务访问 RDS

转载 作者:行者123 更新时间:2023-12-04 09:32:35 26 4
gpt4 key购买 nike

我有几个需要连接到 RDS 的 ECS 任务(fargate,通过 Lambda 函数执行)。
每个任务都有自己的角色定义策略来(例如)访问 S3 存储桶。
我的每个任务也有自己的安全组。
我现在可以将 RDS 上的每个任务安全组列入白名单,但这很麻烦,因为每天都会添加新任务。
我认为必须可以添加允许访问 RDS ( as described in the docs ) 的策略:

- PolicyName: RDSAccess
PolicyDocument:
Statement:
- Effect: Allow
Action:
- rds-db:connect
Resource: 'arn:aws:rds-db:REGION:ID:dbuser:DB_ID/DB_USER'
不幸的是,这不起作用 - 我仍然无法连接到数据库。
如前所述:将每个任务安全组显式添加到 RDS 时,我可以毫无问题地连接到数据库。
两个问题:
  • 是否误解了文档?
  • 是否可以将 ECS 任务添加到预定义的安全组中,以便我只需要将这个特定的安全组列入白名单?
  • 最佳答案

    此策略使您能够使用 CLI 生成作为特定 IAM 用户/角色的临时凭证,您仍然需要通过网络进行入站访问才能连接。
    如果您想简化此过程以进行连接,您可以使用 2 个安全组选项:

  • 将任务所在的子网范围列入白名单,如果这是一个安全问题,可以将任务移动到特定子网中,以便更轻松地列入白名单。
  • 创建一个空白安全组,附加到需要连接到 RDS 的任何任务,然后将其添加为入站源。安全组可以在所有任务中重复使用,只是为了识别它应该具有访问权限。
  • 关于amazon-web-services - 允许 ECS 任务访问 RDS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62760521/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com