Amazon web services 错误1045(28000):拒绝用户访问';db#U用户'@';ip';(使用密码:是)使用IAM DB身份验证连接到RDS DB实例时
下面是问题的简要总结。请阅读完整描述部分以了解基本详细信息 简明说明: 假设您已有一个IAM用户,并且该用户已经能够访问其他AWS服务,例如S3、CloudFront、ECS、EC2 假设我们需要为用户提供通过RDS群集的只读访问权限,并设置IAM DB身份验证 我们按照官方指南在本地系统中执行所有提到的步骤,它工作正常,我们能够为Amazon web services 错误1045(28000):拒绝用户访问';db#U用户'@';ip';(使用密码:是)使用IAM DB身份验证连接到RDS DB实例时,amazon-web-services,amazon-iam,aws-cli,amazon-aurora,amazon-policy,Amazon Web Services,Amazon Iam,Aws Cli,Amazon Aurora,Amazon Policy,下面是问题的简要总结。请阅读完整描述部分以了解基本详细信息 简明说明: 假设您已有一个IAM用户,并且该用户已经能够访问其他AWS服务,例如S3、CloudFront、ECS、EC2 假设我们需要为用户提供通过RDS群集的只读访问权限,并设置IAM DB身份验证 我们按照官方指南在本地系统中执行所有提到的步骤,它工作正常,我们能够为db\u用户生成正确的身份验证令牌 然而,这里是它变得有趣的地方。。当用户试图从其本地计算机为db\u用户帐户生成令牌时。。用户将被拒绝访问 详细说明: 设置: 我
db\u用户
生成正确的身份验证令牌
然而,这里是它变得有趣的地方。。当用户试图从其本地计算机为db\u用户
帐户生成令牌时。。用户将被拒绝访问
详细说明: 设置: 我的RDS集群实例运行Aurora MySQL引擎。 发动机版本:5.6.10a 我一直在遵循AWS知识中心关于 本指南未明确提及,但在生成身份验证令牌时,AWS CLI使用本地存储的IAM凭据对请求进行签名 我想强调一下,在下面提到的代码段中,admin是AWS CLI为我的admin IAM用户存储的配置文件名,db\u用户是IAM用户(具有
rds db:connect
权限)
TOKEN=“$(aws—配置文件管理rds生成db auth TOKEN-h…-u db\u用户)
使用上面的代码片段,我能够使用生成的令牌进行身份验证并连接到集群
如果未提及--profile
属性,它将读取保存在凭据文件中的默认配置文件
问题:
我没有使用--profile admin
,而是希望使用已经存在的非管理IAM配置文件来生成身份验证令牌
例如,假设IAM用户名为developer,具有RDS只读权限,并且凭据存储在配置文件RDS\u read\u only
TOKEN=“$(aws—配置文件rds\u只读rds生成db auth TOKEN-h…-u db\u用户)
如果我使用上述令牌,则会出现以下错误:
错误1045(28000):用户'db_user'@'ip'的访问被拒绝(使用密码:是)
经过数小时的故障排除,我能够得出结论,我的rds_read_only配置文件无法生成有效的身份验证令牌,可能是因为IAM userdeveloper缺少一些必需的策略
我尝试将RDS
和RDS数据API
下可用的所有策略(单独或组合)附加到IAM userdeveloper,但没有任何运气。如果我将AdministrativeAccess
策略附加到IAM userdeveloper,只有这样它才能成功生成令牌
问题:
非管理员IAM用户成功生成身份验证令牌需要哪些强制策略?我在AWS博客中看到了您的问题
这回答了@Ronnie关于代币生成的具体问题 罗尼,我回来了。我在我的AWS帐户中使用了以下策略:Sandbox我是AWS联合用户,拥有AssumeRole权限,因此
Admin
你必须非常小心,因为正如你所说的,这篇文章没有区别于:
AWS IAM用户使用生成的令牌访问数据库和
具有生成有效令牌的正确管理策略的AWS IAM用户/角色
我将给出一个如何识别正确生成的令牌的示例。出于某种原因,AWS会生成一个值,但它不会告诉您是否是有用的标记:-\
没有管理员特殊访问权限的令牌=将不起作用
具有访问权限的令牌=将起作用!仔细查看,它包含X-Amz-Security-Token=
sandboxdb.ras21th1z8.ap-southeast-2.rds.amazonaws.com:3306/?Action=connect&DBUser=human_user&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=ASIA5XZIHS3GSAQI6XHO%2F20200424%2Fap-southeast-2%2Frds-db%2Faws4_request&X-Amz-Date=20200424T040756Z&X-Amz-Expires=900&X-Amz-SignedHeaders=host&X-Amz-Security-Token=IQoJb3JpZ2luX2VjEEQaDmFwLXNvdXRoZWFzdC0yIkgwRgIhAOzVIondlMxYkJG5nWNeQlxS0M6B1pphgD1ewFwx2VfKAiEAkcp2jNHHmNMgwqUholnW545MwjzoEjS1uh4BHI4R4GAqvgMIbRABGgw5NDQ0NDAzMTc2NDUiDEvFkyEy833kd%2By4nyqbAybqK5dcP0nTlqZ19I2OVZxzwzz%2BUv9RVdVLMPHE5b%2FqXQGVG1CRtw90r9Lt4QkzTBeIVzdtIkXbpwFtqFh24Djb%2BiZHfvElj%2Fhz29ExzStU0fPYMewEB1u%2F2Osi72Fw6KbZ6TDy5EjuWcrrS08PZQ9CHc%2Fc8iDAIKs28vJ70KKcmow0SInVZGHGpD2JAgIL7jvnadVlcAW7lN2OAnxS72Kb4neqNuHcWzfPLfbXaOP1OaOs7vCR7zDlTTxX2aHoVflC69K9K67BqzdnDnnju%2F4XWQWU3r%2ByXylExwOsiG3y4Qq6wv002l%2BpQmF5%2BMXdTrFR5ewpfrcHf8TZLI5eq8HLA2gG1%2B255L%2Bqt%2BD80T%2FCzEdKSJPjppdYSq9FdeCMRSsqp5PpXP%2BDbQZwmhxiE2RmrbOKwNsFPJqUUnemQHXYLB8lily56nnswT2PYmQOGHqnZWRrv%2FTlGOAGlThuiR%2BLhQLBC08nBEGbBqK%2FjU4JwFMY4JfhgUHr8BA9CuGwAu0qIAFzG71M3HzCNX6o56k1gYJB%2F3%2FJaKlp7TCIxIn1BTrqASqywcfKrWhIaNX3t%2BV%2FZoYYO%2FtGVBZLyr3sSmByA%2Fwq538LiPHA0wDE3utOg%2FwNP%2BQGTcXhk1F%2BI0HOHztAQ2afnKW8r1oRbXxYAzb2j2b8MNEwrsaBju2gHFRgZHkM8YI%2FP5cvYr%2F8FQXWcE9eqjdme0hOo3rPETzxZfRwNQTHEntBbVVD1ec0d7DblfSEDZhLk%2By1%2BFMAYf7NeBIfU6GNsAN2hTdSkPPuto2fQKzRybRAwxQz5P3cO5CClUNIxu4J3bM1MUUTux%2BtMjqRvjGxDhB4yLIJmIPOOYLDSOXl3aWO2y4v89wu5A%3D%3D&X-Amz-Signature=1c6fcc472bb2af09055117075ca21d4a5f715910443115116c9230905721e79d
数据库用户连接到AWS RDS数据库实例的AWS IAM策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "rds-db:connect",
"Resource": "*"
}
]
}
为了避免干扰本地配置,我使用了以下测试过程:
mysql -h $HOSTNAME -u$ADMIN_USER -p$ADMIN_PASS <<EOF
CREATE USER db_human_user IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';
GRANT SELECT ON $SPECIFIC_GIVEN_DB.* TO 'db_human_user';
EOF
mysql-h$HOSTNAME-u$ADMIN\u USER-p$ADMIN\u PASS我不确定您是否理解我的问题。我已经能做到了,是的,对不起。我实际上需要测试一个非常类似的场景,但是可以使用MySQL workbench进行连接。有一件事我可以请你检查一下,那就是所谓的AWS IAM信任关系。担任AWS IAM角色。您可能需要启用与AWS RDSAh的信任关系!我不确定这种信任关系是否是为了达到目的,但它确实给了我希望,让我去尝试一下。谢谢,伙计。真的谢谢。我会在尝试这个时告诉你最新情况。另外,在AWS论坛上,我看到了一些类似恼人问题的参考资料。相信我,我浏览了300多条帖子
mysql -h $HOSTNAME -u$ADMIN_USER -p$ADMIN_PASS <<EOF
CREATE USER db_human_user IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';
GRANT SELECT ON $SPECIFIC_GIVEN_DB.* TO 'db_human_user';
EOF