AWSSupport-TroubleshootRDSIAMAuthentication - AWS Systems Manager Referenz zum Automatisierungs-Runbook

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSSupport-TroubleshootRDSIAMAuthentication

Beschreibung

Das AWSSupport-TroubleshootRDSIAMAuthentication hilft bei der Fehlerbehebung bei der Authentifizierung AWS Identity and Access Management (IAM) RDS für Amazon for PostgreSQL, Amazon RDS for MySQL, Amazon RDS for MariaDB, Amazon Aurora Postgre und Amazon Aurora My SQL Instances. SQL Verwenden Sie dieses Runbook, um die Konfiguration zu überprüfen, die für die IAM Authentifizierung mit einer RDS Amazon-Instance oder einem Aurora-Cluster erforderlich ist. Es enthält auch Schritte zur Behebung der Verbindungsprobleme mit der RDS Amazon-Instance oder dem Aurora-Cluster.

Wichtig

Dieses Runbook unterstützt Amazon RDS for Oracle oder Amazon RDS for Microsoft SQL Server nicht.

Wichtig

Wenn eine EC2 Amazon-Quellinstanz bereitgestellt wird und die Zieldatenbank Amazon istRDS, wird eine untergeordnete Automatisierung AWSSupport-TroubleshootConnectivityToRDS aufgerufen, um TCP Verbindungsprobleme zu beheben. Die Ausgabe enthält auch Befehle, die Sie auf Ihrer EC2 Amazon-Instance oder Ihrem Quellcomputer ausführen können, um mithilfe der IAM Authentifizierung eine Verbindung zu den RDS Amazon-Instances herzustellen.

Wie funktioniert das?

Dieses Runbook besteht aus sechs Schritten:

  • Schritt 1validateInputs: Validiert die Eingaben für die Automatisierung.

  • Schritt 2 branchOnSourceEC2Provided: Überprüft, ob eine EC2 Amazon-Instance-Quell-ID in den Eingabeparametern angegeben ist.

  • Schritt 3validateRDSConnectivity: Überprüft die RDS Amazon-Konnektivität von der EC2 Amazon-Quellinstanz, falls diese bereitgestellt wird.

  • Schritt 4validateRDSIAMAuthentication: Überprüft, ob die IAM Authentifizierungsfunktion aktiviert ist.

  • Schritt 5validateIAMPolicies: Überprüft, ob die erforderlichen IAM Berechtigungen für den angegebenen Benutzer/die IAM angegebene Rolle vorhanden sind.

  • Schritt 6generateReport: Generiert einen Bericht über die Ergebnisse der zuvor ausgeführten Schritte.

Führen Sie diese Automatisierung aus (Konsole)

Art des Dokuments

Automatisierung

Eigentümer

Amazon

Plattformen

Linux

Parameter

  • AutomationAssumeRole

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

  • RDSType

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich): Wählen Sie den Typ der relationalen Datenbank aus, zu der Sie eine Verbindung herstellen und sich authentifizieren möchten.

    Zulässige Werte: oder Amazon RDS Amazon Aurora Cluster.

  • DBInstanceIdentifier

    Typ: Zeichenfolge

    Beschreibung: (Erforderlich) Die ID der RDS Ziel-Amazon-Datenbank-Instance oder des Aurora-Datenbank-Clusters.

    Zulässiges Muster: ^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$

    Max. Anzahl an Zeichen: 63

  • SourceEc2 InstanceIdentifier

    Typ: AWS::EC2::Instance::Id

    Beschreibung: (Optional) Die EC2 Amazon-Instance-ID, wenn Sie von einer Amazon-Instance aus, die in demselben Konto und derselben Region läuft, eine Verbindung zur RDS EC2 Amazon-Datenbank-Instance herstellen. Geben Sie diesen Parameter nicht an, wenn die Quelle keine EC2 Amazon-Instance ist oder wenn der RDS Amazon-Zieltyp ein Aurora-Datenbank-Cluster ist.

    Standard: ""

  • DBIAMRoleName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der IAM Rollenname, der für die IAM basierte Authentifizierung verwendet wird. Geben Sie nur an, wenn der Parameter DBIAMUserName nicht angegeben wurde, andernfalls lassen Sie ihn leer. Entweder DBIAMRoleName oder DBIAMUserName muss angegeben werden.

    Zulässiges Muster: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Max. Anzahl an Zeichen: 64

    Standard: ""

  • DBIAMUserName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der IAM Benutzername, der für die IAM basierte Authentifizierung verwendet wird. Geben Sie nur an, wenn der DBIAMRoleName Parameter nicht angegeben wurde, andernfalls lassen Sie ihn leer. Entweder DBIAMRoleName oder DBIAMUserName muss angegeben werden.

    Zulässiges Muster: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Max. Anzahl an Zeichen: 64

    Standard: ""

  • DBUserName

    Typ: Zeichenfolge

    Beschreibung: (Optional) Der Datenbankbenutzername, der einer IAM Rolle oder einem Benutzer für die IAM basierte Authentifizierung innerhalb der Datenbank zugeordnet ist. Die Standardoption * bewertet, ob die rds-db:connect Berechtigung für alle Benutzer in der Datenbank zulässig ist.

    Zulässiges Muster: ^[a-zA-Z0-9+=,.@*_-]{1,64}$

    Max. Anzahl an Zeichen: 64

    Standard: *

Erforderliche IAM Berechtigungen

Der AutomationAssumeRole Parameter erfordert die folgenden Aktionen, um das Runbook erfolgreich zu verwenden.

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedUserPolicies

  • iam:ListRolePolicies

  • iam:ListUserPolicies

  • iam:SimulatePrincipalPolicy

  • rds:DescribeDBClusters

  • rds:DescribeDBInstances

  • ssm:DescribeAutomationStepExecutions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Anweisungen

  1. Navigieren Sie roubleshootRDSIAMAuthentication in der AWSSupportKonsole zu -T. AWS Systems Manager

  2. Wählen Sie Automatisierung ausführen

  3. Geben Sie für Eingabeparameter Folgendes ein:

    • AutomationAssumeRole(Fakultativ):

      Der Amazon-Ressourcenname (ARN) der Rolle AWS Identity and Access Management (IAM), der es Systems Manager Automation ermöglicht, die Aktionen in Ihrem Namen durchzuführen. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.

    • RDSType(Erforderlich):

      Wählen Sie den Amazon-Typ aus, RDS mit dem Sie eine Verbindung herstellen und sich authentifizieren möchten. Wählen Sie aus den beiden zulässigen Werten: oder Amazon RDS Amazon Aurora Cluster.

    • DBInstanceIdentifier(Erforderlich):

      Geben Sie die ID der RDS Amazon-Datenbank-Zielinstanz oder des Aurora-Clusters ein, mit dem Sie eine Verbindung herstellen möchten, und verwenden Sie IAM Anmeldeinformationen für die Authentifizierung.

    • SourceEc2 InstanceIdentifier (optional):

      Geben Sie die EC2 Amazon-Instance-ID an, wenn Sie von einer Amazon-Instance aus, die sich im selben Konto und in derselben Region befindet, eine Verbindung zur RDS EC2 Amazon-Datenbank-Instance herstellen. Lassen Sie das Feld leer, wenn die Quelle nicht Amazon ist EC2 oder wenn der RDS Amazon-Zieltyp ein Aurora-Cluster ist.

    • DBIAMRoleName(Fakultativ):

      Geben Sie den IAM Rollennamen ein, der für die IAM basierte Authentifizierung verwendet wird. Geben Sie das Feld nur an, wenn DBIAMUserName es nicht angegeben ist. Andernfalls lassen Sie das Feld leer. Entweder DBIAMRoleName oder DBIAMUserName muss angegeben werden.

    • DBIAMUserName(Fakultativ):

      Geben Sie den IAM Benutzer ein, der für die IAM basierte Authentifizierung verwendet wird. Geben Sie nur an, wenn DBIAMRoleName nicht angegeben, andernfalls lassen Sie das Feld leer. Entweder DBIAMRoleName oder DBIAMUserName muss angegeben werden.

    • DBUserName(Fakultativ):

      Geben Sie den Datenbankbenutzer ein, der einer IAM Rolle/einem Benutzer für die IAM basierte Authentifizierung innerhalb der Datenbank zugeordnet ist. Die Standardoption * wird zur Auswertung verwendet. In diesem Feld ist nichts angegeben.

  4. Wählen Sie Ausführen aus.

  5. Beachten Sie, dass die Automatisierung initiiert wird.

  6. Das Dokument führt die folgenden Schritte aus:

    • Schritt 1validateInputs:

      Validiert die Eingaben für die Automatisierung — SourceEC2InstanceIdentifier (optional), DBInstanceIdentifier oderClusterID, und DBIAMRoleName oderDBIAMUserName. Es überprüft, ob die eingegebenen Eingabeparameter in Ihrem Konto und Ihrer Region vorhanden sind. Außerdem wird überprüft, ob der Benutzer einen der IAM Parameter eingegeben hat (z. B. DBIAMRoleName oderDBIAMUserName). Darüber hinaus werden weitere Überprüfungen durchgeführt, z. B. ob sich die erwähnte Datenbank im Status Verfügbar befindet.

    • Schritt 2 branchOnSourceEC2Provided:

      Überprüft, ob Source Amazon in den Eingabeparametern angegeben EC2 ist und ob es sich bei der Datenbank um Amazon RDS handelt. Falls ja, wird mit Schritt 3 fortgefahren. Falls nicht, überspringt es Schritt 3, die EC2 Amazon -Amazon RDS Connectivity-Validierung, und fährt mit Schritt 4 fort.

    • Schritt 3: validateRDSConnectivity

      Wenn die Quelle Amazon in den Eingabeparametern angegeben EC2 ist und die Datenbank Amazon istRDS, leitet Schritt 2 Schritt 3 ein. In diesem Schritt AWSSupport-TroubleshootConnectivityToRDS wird die untergeordnete Automatisierung aufgerufen, um die RDS Amazon-Konnektivität von der Amazon-Quelle aus zu überprüfen. EC2 Das untergeordnete Automatisierungs-Runbook AWSSupport-TroubleshootConnectivityToRDS überprüft, ob die erforderlichen Netzwerkkonfigurationen (Amazon Virtual Private Cloud [AmazonVPC], Sicherheitsgruppen, Network Access Control List [NACL], RDS Amazon-Verfügbarkeit) vorhanden sind, sodass Sie eine Verbindung von der EC2 Amazon-Instance zur Amazon-Instance herstellen können. RDS

    • Schritt 4: validateRDSIAMAuthentication

      Überprüft, ob die IAM Authentifizierungsfunktion auf der RDS Amazon-Instance oder dem Aurora-Cluster aktiviert ist.

    • Schritt 5: validateIAMPolicies

      Überprüft, ob die erforderlichen IAM Berechtigungen in dem IAM Benutzer/der übergebenen Rolle vorhanden sind, damit die IAM Anmeldeinformationen für die Authentifizierung in der RDS Amazon-Instance für den angegebenen Datenbankbenutzer (falls vorhanden) verwendet werden können.

    • Schritt 6: generateReport

      Ruft alle Informationen aus den vorherigen Schritten ab und druckt das Ergebnis oder die Ausgabe jedes Schritts aus. Außerdem werden die Schritte aufgeführt, auf die verwiesen und die ausgeführt werden müssen, um mithilfe der IAM Anmeldeinformationen eine Verbindung zur RDS Amazon-Instance herzustellen.

  7. Wenn die Automatisierung abgeschlossen ist, finden Sie im Abschnitt Outputs die detaillierten Ergebnisse:

    • Überprüfung der IAM Benutzer-/Rollenberechtigung zur Verbindung mit der Datenbank:

      Überprüft, ob die erforderlichen IAM Berechtigungen in dem IAM Benutzer/der übergebenen Rolle vorhanden sind, damit die IAM Anmeldeinformationen für die Authentifizierung bei der RDS Amazon-Instance für den angegebenen Datenbankbenutzer (falls vorhanden) verwendet werden können.

    • Das Attribut „IAMBased Authentication“ für die Datenbank wird überprüft:

      Überprüft, ob die IAM Authentifizierungsfunktion für den angegebenen Amazon RDS Database/Aurora-Cluster aktiviert ist.

    • Überprüfen der Konnektivität von EC2 Amazon-Instance zu RDS Amazon-Instance:

      Überprüft, ob die erforderlichen Netzwerkkonfigurationen (AmazonVPC, SicherheitsgruppenNACL, RDS Amazon-Verfügbarkeit) vorhanden sind, sodass Sie eine Verbindung von der EC2 Amazon-Instance zur Amazon-Instance herstellen können. RDS

    • Nächste Schritte:

      Führt die Befehle und Schritte auf, auf die verwiesen und ausgeführt werden muss, um mithilfe der IAM Anmeldeinformationen eine Verbindung zur RDS Amazon-Instance herzustellen.

Referenzen

Systems Manager Automation