个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
65
4
以下是问题的快速摘要。阅读完整的描述部分以了解基本细节。
假设您已经有一个 IAM 用户并且该用户已经能够访问其他 AWS 服务,例如 S3、CloudFront、ECS、EC2...
假设我们需要为用户提供对 RDS 集群的只读访问权限,并设置 IAM 数据库身份验证。
我们按照官方指南在我们的本地系统中执行了所有提到的步骤,它运行良好,我们能够为 db_user 生成正确的身份验证 token 。
然而,有趣的地方在于..当用户尝试从他们的本地计算机为 db_user 帐户生成 token 时..用户将被拒绝访问。
我的 RDS 集群实例运行 Aurora MySQL 引擎。引擎版本:5.6.10a
我一直在关注 How do I allow users to connect to Amazon RDS with IAM credentials? 上的 AWS 知识中心指南
该指南没有明确提及,但在生成身份验证 token 时,AWS CLI 使用本地存储的 IAM 凭证来签署请求。
我想强调的是,在下面提到的片段中,admin 是 AWS CLI 为我的管理员 IAM 用户存储的配置文件名称,而 db_user 是IAM 用户(具有 rds-db:connect 权限)。
TOKEN="$(aws --profile admin rds generate-db-auth-token -h.. .. .. -u db_user)
使用上面的代码片段,我能够使用生成的 token 进行身份验证并连接到集群。
如果未提及--profile 属性,它将读取保存在凭据文件中的默认配置文件。
我没有使用 --profile admin,而是希望使用已经存在的非管理 IAM 配置文件来生成身份验证 token 。
例如,假设名为 developer 的 IAM 用户具有 RDS 只读权限,并且凭证本地存储在配置文件 rds_read_only 下
TOKEN="$(aws --profile rds_read_only rds generate-db-auth-token -h.. .. .. -u db_user)
如果我使用上面的 token ,我会收到以下错误:
错误 1045 (28000):用户 'db_user'@'ip' 的访问被拒绝(使用密码:YES)
经过数小时的故障排除,我得出结论,我的 rds_read_only 配置文件无法生成有效的身份验证 token ,这可能是因为 IAM 用户 developer 缺少一些必需的策略。
我尝试将 RDS 和 RDS Data API 下可用的所有策略(单独以及组合)附加到 IAM 用户 developer,没有运气好的话。如果我将 AdministrativeAccess 策略附加到 IAM 用户 developer,只有这样它才能成功生成 token 。
非管理员 IAM 用户成功生成身份验证 token 所需的强制性策略是什么?
最佳答案
我在 AWS 博客中看到了您的问题。
您需要创建一个 IAM 策略来定义对您的 AWS RDS 实例的访问。检查这个 docs
{ "版本": "2012-10-17", “陈述”: [ { "效果": "允许", “行动”: [ “rds-db:连接” ], “资源”:[ “arn:aws:rds-db:us-east-2:1234567890:dbuser:/” ] } ]
根据使用 IAM 插件的说明在 RDS 数据库实例中创建用户。检查这个 docs
创建 token 检查这个 docs
关于amazon-web-services - 错误 1045 (28000) : Access denied for user 'db_user' @'ip' (using password: YES) while connecting to a RDS DB instance using IAM DB Authentication,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61094432/
65
4
0
我在优化 JOIN 以使用复合索引时遇到问题。我的查询是: SELECT p1.id, p1.category_id, p1.tag_id, i.rating FROM products p1
我有一个简单的 SQL 查询,我正在尝试对其进行优化以删除“使用位置;使用临时;使用文件排序”。 这是表格: CREATE TABLE `special_offers` ( `so_id` int
我有一个具有以下结构的应用程序表 app_id VARCHAR(32) NOT NULL, dormant VARCHAR(6) NOT NULL, user_id INT(10) NOT NULL
此查询的正确索引是什么。 我尝试为此查询提供不同的索引组合,但它仍在使用临时文件、文件排序等。 总表数据 - 7,60,346 产品= '连衣裙' - 总行数 = 122 554 CREATE TAB
为什么额外的是“使用where;使用索引”而不是“使用索引”。 CREATE TABLE `pre_count` ( `count_id`
我有一个包含大量记录的数据库,当我使用以下 SQL 加载页面时,速度非常慢。 SELECT goal.title, max(updates.date_updated) as update_sort F
我想知道 Using index condition 和 Using where 之间的区别;使用索引。我认为这两种方法都使用索引来获取第一个结果记录集,并使用 WHERE 条件进行过滤。 Q1。有什
I am using TypeScript 5.2 version, I have following setup:我使用的是TypeScript 5.2版本,我有以下设置: { "
I am using TypeScript 5.2 version, I have following setup:我使用的是TypeScript 5.2版本,我有以下设置: { "
I am using TypeScript 5.2 version, I have following setup:我使用的是TypeScript 5.2版本,我有以下设置: { "
mysql Ver 14.14 Distrib 5.1.58,用于使用 readline 5.1 的 redhat-linux-gnu (x86_64) 我正在接手一个旧项目。我被要求加快速度。我通过
在过去 10 多年左右的时间里,我一直打开数据库 (mysql) 的连接并保持打开状态,直到应用程序关闭。所有查询都在连接上执行。 现在,当我在 Servicestack 网页上看到示例时,我总是看到
我使用 MySQL 为我的站点构建了一个自定义论坛。列表页面本质上是一个包含以下列的表格:主题、上次更新和# Replies。 数据库表有以下列: id name body date topic_id
在mysql中解释的额外字段中你可以得到: 使用索引 使用where;使用索引 两者有什么区别? 为了更好地解释我的问题,我将使用下表: CREATE TABLE `test` ( `id` bi
我经常看到人们在其Haxe代码中使用关键字using。它似乎在import语句之后。 例如,我发现这是一个代码片段: import haxe.macro.Context; import haxe.ma
这个问题在这里已经有了答案: "reduce" or "apply" using logical functions in Clojure (2 个答案) 关闭 8 年前。 “and”似乎是一个宏,
这个问题在这里已经有了答案: "reduce" or "apply" using logical functions in Clojure (2 个答案) 关闭 8 年前。 “and”似乎是一个宏,
我正在考虑在我的应用程序中使用注册表模式来存储指向某些应用程序窗口和 Pane 的弱指针。应用程序的一般结构如下所示。 该应用程序有一个 MainFrame 顶层窗口,其中有几个子 Pane 。可以有
奇怪的是:。似乎a是b或多或少被定义为id(A)==id(B)。用这种方式制造错误很容易:。有些名字出人意料地出现在Else块中。解决方法很简单,我们应该使用ext==‘.mp3’,但是如果ext表面
我遇到了一个我似乎无法解决的 MySQL 问题。为了能够快速执行用于报告目的的 GROUP BY 查询,我已经将几个表非规范化为以下内容(该表由其他表上的触发器维护,我已经同意了与此): DROP T
我是一名优秀的程序员,十分优秀!