amazon-web-services - 从 AWS ECS Fargate 访问 AWS RDS 的最佳方式-6ren

amazon-web-services - 从 AWS ECS Fargate 访问 AWS RDS 的最佳方式

转载作者：行者123 更新时间：2023-12-04 15:16:48

25

4

我有运行 AWS ECS Fargate 的基于 Java 的容器。现在我们通过用户名密码组合访问 AWS RDS Postgres 数据库，但我想知道如何使这个过程更安全。
但我有一个问题: 如何避免在 .psql 脚本 ( CREATE USER username WITH PASSWORD 'xxx' ) 中存储用户密码？我认为更好的选择是完全避免使用密码，但我不知道该怎么做......
将密码加载到 Fargate 容器来自 AWS Secrets Manager - 这没问题。
请问您有什么建议吗？

编辑:我将在这里分享我的进展，以便任何人都可以重现
文档:https://docs.aws.amazon.com/.../.../.../UsingWithRDS.IAMDBAuth.html
- 第一阶段 -
目标 :IAM 身份验证的 PoC(使用 IAM 用户)

I have prepared my RDS instance to allow IAM Auth

我已经创建了 IAM 用户 attached new IAM Policy to it 并创建了一个访问 key 。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "rds-db:*",
            "Resource": "arn:aws:rds-db:eu-central-1:666:dbuser:db-YFVS/iam_user"
        }
    ]
}

NOTE :在资源中使用的是resourceId，而不是arn! (这可以在 rds 实例的配置选项卡中找到)

I have created user in my database

CREATE USER iam_user; 
GRANT rds_iam TO iam_user;

I tested the connection(导出访问 key 后)

# Generate token
export RDSHOST="dev.aaaaa.eu-central-1.rds.amazonaws.com"
export PGPASSWORD="$(aws rds generate-db-auth-token --hostname $RDSHOST --port 5432 --region eu-central-1 --username iam_user )"

#Connect
psql "host=$RDSHOST port=5432 dbname=mydb user=iam_user password=$PGPASSWORD"

mydb->

现在我想继续 Java 实现并进一步迁移到 Fargate
- 第二阶段 -
目标 :在 Python 应用程序中实现 IAM 身份验证
我已经按照此处的教程进行操作，并且效果很好。我使用了我在上一步中创建的 IAM 用户的 IAM 凭证( key 、 secret )。另外，我已经从 ENV 而不是配置文件加载了凭据。
https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Connecting.Python.html

import psycopg2
import sys
import boto3

ENDPOINT="postgresmydb.123456789012.us-east-1.rds.amazonaws.com"
PORT="5432"
USR="jane_doe"
REGION="us-east-1"
DBNAME="mydb"

session = boto3.Session(region_name='us-east-1',
                        aws_access_key_id=os.environ['AWS_ACCESS_KEY_ID'],
                        aws_secret_access_key=os.environ['AWS_SECRET_ACCESS_KEY'])

token = client.generate_db_auth_token(DBHostname=ENDPOINT, Port=PORT, DBUsername=USR, Region=REGION)

try:
    conn = psycopg2.connect(host=ENDPOINT, port=PORT, database=DBNAME, user=USR, password=token)
    cur = conn.cursor()
    cur.execute("""SELECT now()""")
    query_results = cur.fetchall()
    print(query_results)
except Exception as e:
    print("Database connection failed due to {}".format(e))

最佳答案

根据评论。
一种不使用密码访问 RDS PostgreSQL 的方法是使用 IAM Database Authentication :

With this authentication method, you don't need to use a password when you connect to a DB instance. Instead, you use an authentication token.

有一些 limitations考虑，其中之一是:

The maximum number of connections per second for your DB instance might be limited depending on its DB instance class and your workload.

关于amazon-web-services - 从 AWS ECS Fargate 访问 AWS RDS 的最佳方式，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/64167883/

25

4

0

文章推荐： html - 使用 emmet 缩写创建颜色

文章推荐： d3.js - 在具有缩放事件的内的两个元素之间放置一条线？

文章推荐： python - 从 Django 服务器一次流式传输多个文件

文章推荐： java - 如何使用 Spring ClientResponse 使用 Map？

amazon-rds - RDS 集群和数据库实例概念
我需要创建 RDS Aurora 5.7 数据库。我想我对 RDS 的概念不是很清楚。这是正确的层次结构吗？ aws_rds_cluster -> aws_rds_cluster_instance -
amazon-rds - RDS 安全组入口规则
我正在开发包含 RDS 数据库的 CloudFormation 模板，并且我想将安全组附加到 RDS。有一个资源AWS::RDS::DBSecurityGroup我想编写自己的入口规则，通过附加此资源
amazon-rds - RDS 实例的规范名称
我有不同的 EC2 实例尝试访问 RDS 实例。我想在配置文件中预先设置 RDS 实例“规范名称”，以便在部署后我不需要对配置文件进行任何更改。我有以下问题: 无论如何，人们可以在cloudform
python - 使用python多处理器将数据导入到mysql RDS - RDS
当我在 python 中使用多处理器运行数据导入器时，发生了一些非常奇怪的行为。我相信这是一个数据库问题，但我不知道如何追踪它。下面是我正在做的过程的描述: 1) 运行 XX 个处理器的多处理器文件，
SpringBoot, Hibernate and AWS RDS (Aurora) with new CA rds-ca-ecc384-g1(SpringBoot、休眠和AWS RDS(Aurora)以及新的CA rds-ca-ecc384-G1)
我有一个SpringBoot应用程序，它使用以下配置与PostgreSQL通信，通过AWS Beanstrik部署：。在我将AWS Aurora证书更新为rds-ca-ecc384-g1之前，一切都很
amazon-rds - AWS RDS 保留期超过了实例设置中指定的期限
我有一个带有 PostgreSQL 的 AWS RDS 实例。在实例创建过程中，我将自动备份的最大保留期指定为 7。但我可以在快照部分看到过去 9 天的自动备份。有谁知道这里发生了什么？最佳答案
amazon-rds - Amazon RDS 实例是否可以升级？
我是否能够根据需要切换(我的意思是升级或降级)Amazon RDS 实例，还是必须重新创建一个新实例并进行迁移？最佳答案是，Amazon RDS 实例可通过 modify-db-instance
amazon-rds - AWS RDS 使用的操作系统
Amazon RDS 使用哪些操作系统。虽然我知道在使用 RDS 时我们只是暴露于一个端点，并且在内部我们使用的数据库可能受多个系统支持，但我想知道这些系统使用的操作系统是什么。最佳答案要检查 A
amazon-rds - 使用最新引擎版本创建 RDS 数据库集群
来自文档 https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html ,CreateDBClu
amazon-rds - RDS 参数组 - 动态和静态
此处提到的动态参数与静态参数的示例是什么？ Here are some important points you should know about working with parameters i
amazon-rds - Amazon RDS 多可用区故障转移
正在考虑使用多可用区的 RDS Oracle 产品。我找不到一件事 - 如果您的主实例消失并且您故障转移到辅助实例，您会回到主实例吗？或者次要成为主要，然后另一个实例(可能是您的旧主要)成为次要？ R
amazon-web-services - 将 AWS RDS SSL/TLS 证书从 rds-ca-2015 更新为 rds-ca-2019
我们最近将 AWS rds 的 SSL 从 rds-ca-2015 更新为 rds-ca-2019。现在应用程序可以正常工作并与 SSL 连接，但我们现在无法使用 rds-ca-2019 确认 rds
amazon-rds - AWS EKS 节点访问 RDS
我让 AWS EKS 节点访问 RDS，其中我在 RDS 的安全组中将 EKS 节点的公共(public) IP 列入白名单。但这不是可行的解决方案，因为 EKS 节点可以被替换，其公共(public
amazon-rds - 如何在没有循环依赖的情况下使用 CDK 将安全组添加到现有 RDS
我有一个多堆栈应用程序，我想在一个堆栈中部署 RDS，然后在稍后的堆栈中部署一个连接到 RDS 的 Fargate 集群。以下是 rds 的定义方式: this.rdsSG = new ec
amazon-rds - RDS : Free Memory,事件内存和可释放内存的三个指标之间有什么关系？
AWS RDS的三个指标是什么:可用内存(增强监控)，事件内存(增强监控)和可用内存(CloudWatch监控)？它们之间是什么关系？看这两张照片。三个指标的值不同。的形象 enter ima
amazon-rds - 如何在不停机的情况下更改 AWS-RDS 实例类型？
我正在使用 AWS-RDS(Aurora MySQL5.6) 并且它是一个集群，它有一个写入器实例和一个读取器实例。我发现当我改变它的类型时，每个实例都会停机近 10 分钟，这是 Not Accept
amazon-rds - 如何减少我的 AWS RDS 实例的费用
我们目前每月为 RDS 使用支付 85-100 美元之间的费用。但大多数时候我们不访问我们的数据库实例。有没有办法通过关闭实例或进入共享数据库模式来减少计费。有哪些替代方案？最佳答案您可以随时使用
amazon-rds - Amazon RDS (postgres) 连接限制？
我搜索了网络并浏览了 RDS 文档，但似乎找不到开放连接限制。就其值(value)而言，我计划使用 RDS 的新 Postgres 风格，但我认为来自 mySQL 方面的答案也可以接受。谢谢! 最
amazon-rds - Terraform 计划想要销毁导入的 RDS 资源
我使用以下命令将之前部署的 RDS 实例替换为手动配置的 RDS 实例: ./terraform destroy -target aws_db_instance.my_db ./terraform i
amazon-rds - Terraform 计划想要销毁导入的 RDS 资源
我使用以下命令将之前部署的 RDS 实例替换为手动配置的 RDS 实例: ./terraform destroy -target aws_db_instance.my_db ./terraform i

首页

博学

6Ren·AI

商城

amazon-web-services - 从 AWS ECS Fargate 访问 AWS RDS 的最佳方式