AWSSupport-TroubleshootRDSIAMAuthentication - AWS Systems Manager Référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootRDSIAMAuthentication

Description

AWSSupport-TroubleshootRDSIAMAuthenticationCela permet de résoudre les problèmes d'authentification AWS Identity and Access Management (IAM) pour RDS les instances Amazon for Postgre, SQL Amazon RDS for My, SQL Amazon pour RDS MariaDB, Amazon Aurora SQL Postgre et Amazon Aurora My. SQL Utilisez ce runbook pour vérifier la configuration requise pour l'IAMauthentification auprès d'une RDS instance Amazon ou d'un cluster Aurora. Il fournit également des étapes pour corriger les problèmes de connectivité liés à l'RDSinstance Amazon ou au cluster Aurora.

Important

Ce runbook ne prend pas en charge Amazon RDS pour Oracle ou Amazon RDS pour Microsoft SQL Server.

Important

Si une EC2 instance Amazon source est fournie et que la base de données cible est AmazonRDS, une automatisation secondaire AWSSupport-TroubleshootConnectivityToRDS est invoquée pour résoudre les problèmes de TCP connectivité. La sortie fournit également des commandes que vous pouvez exécuter sur votre EC2 instance Amazon ou votre machine source pour vous connecter aux RDS instances Amazon à l'aide de l'IAMauthentification.

Comment fonctionne-t-il ?

Ce runbook comprend six étapes :

  • Étape 1 validateInputs : Valide les entrées de l'automatisation.

  • Étape 2 branchOnSource EC2Provided : Vérifie si un identifiant d'EC2instance Amazon source est fourni dans les paramètres d'entrée.

  • Étape 3 validateRDSConnectivity : Valide la RDS connectivité Amazon à partir de l'EC2instance Amazon source si elle est fournie.

  • Étape 4 validateRDSIAMAuthentication : Valide si la fonctionnalité IAM d'authentification est activée.

  • Étape 5 validateIAMPolicies : Vérifie si les IAM autorisations requises sont présentes dans l'IAMutilisateur/le rôle fourni.

  • Étape 6 generateReport : Génère un rapport des résultats des étapes précédemment exécutées.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Linux

Paramètres

  • AutomationAssumeRole

    Type : String

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • RDSType

    Type : String

    Description : (Obligatoire) : Sélectionnez le type de base de données relationnelle à laquelle vous essayez de vous connecter et de vous authentifier.

    Valeurs autorisées : Amazon RDS ou Amazon Aurora Cluster.

  • DBInstanceIdentifier

    Type : String

    Description : (Obligatoire) L'identifiant de l'instance de RDS base de données Amazon ou du cluster de base de données Aurora cible.

    Modèle autorisé : ^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$

    Nombre maximum de caractères : 63

  • SourceEc2 InstanceIdentifier

    Type : AWS::EC2::Instance::Id

    Description : (Facultatif) L'identifiant de l'EC2instance Amazon si vous vous connectez à l'instance de RDS base de données Amazon à partir d'une EC2 instance Amazon exécutée dans le même compte et dans la même région. Ne spécifiez pas ce paramètre si la source n'est pas une EC2 instance Amazon ou si le RDS type Amazon cible est un cluster de base de données Aurora.

    Par défaut : ""

  • DBIAMRoleName

    Type : String

    Description : (Facultatif) Le nom du IAM rôle utilisé pour l'authentification IAM basée. Indiquez uniquement si le paramètre n'DBIAMUserNameest pas fourni, sinon laissez-le vide. L'un DBIAMRoleName ou l'autre DBIAMUserName doit être fourni.

    Modèle autorisé : ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Nombre maximum de caractères : 64

    Par défaut : ""

  • DBIAMUserName

    Type : String

    Description : (Facultatif) Le nom IAM d'utilisateur utilisé pour l'authentification IAM basée. Indiquez uniquement si le DBIAMRoleName paramètre n'est pas fourni, sinon laissez-le vide. L'un DBIAMRoleName ou l'autre DBIAMUserName doit être fourni.

    Modèle autorisé : ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Nombre maximum de caractères : 64

    Par défaut : ""

  • DBUserName

    Type : String

    Description : (Facultatif) Le nom d'utilisateur de la base de données mappé à un IAM rôle/utilisateur pour une authentification IAM basée au sein de la base de données. L'option par défaut * évalue si l'rds-db:connectautorisation est accordée à tous les utilisateurs de la base de données.

    Modèle autorisé : ^[a-zA-Z0-9+=,.@*_-]{1,64}$

    Nombre maximum de caractères : 64

    Par défaut : *

IAMAutorisations requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedUserPolicies

  • iam:ListRolePolicies

  • iam:ListUserPolicies

  • iam:SimulatePrincipalPolicy

  • rds:DescribeDBClusters

  • rds:DescribeDBInstances

  • ssm:DescribeAutomationStepExecutions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Instructions

  1. Accédez au AWSSupport-T roubleshootRDSIAMAuthentication dans la AWS Systems Manager console.

  2. Sélectionnez Exécuter l'automatisation

  3. Pour les paramètres d'entrée, entrez ce qui suit :

    • AutomationAssumeRole(Facultatif) :

      Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

    • RDSType(Obligatoire) :

      Sélectionnez le type d'Amazon RDS auquel vous essayez de vous connecter et de vous authentifier. Choisissez l'une des deux valeurs autorisées : Amazon RDS ou Amazon Aurora Cluster.

    • DBInstanceIdentifier(Obligatoire) :

      Entrez l'identifiant de l'instance de RDS base de données Amazon cible ou du cluster Aurora auquel vous essayez de vous connecter et utilisez les IAM informations d'identification pour l'authentification.

    • SourceEc2 InstanceIdentifier (Facultatif) :

      Fournissez l'identifiant de l'EC2instance Amazon si vous vous connectez à l'instance de RDS base de données Amazon à partir d'une EC2 instance Amazon présente dans le même compte et dans la même région. Laissez ce champ vide si la source n'est pas Amazon EC2 ou si le RDS type d'Amazon cible est un cluster Aurora.

    • DBIAMRoleName(Facultatif) :

      Entrez le nom du IAM rôle utilisé pour l'authentification IAM basée sur l'authentification. Indiquez uniquement si DBIAMUserName ce n'est pas le cas ; dans le cas contraire, laissez le champ vide. L'un DBIAMRoleName ou l'autre DBIAMUserName doit être fourni.

    • DBIAMUserName(Facultatif) :

      Entrez l'IAMutilisateur utilisé pour l'authentification IAM basée sur l'authentification. Indiquez uniquement si DBIAMRoleName ce n'est pas le cas, sinon, laissez le champ vide. L'un DBIAMRoleName ou l'autre DBIAMUserName doit être fourni.

    • DBUserName(Facultatif) :

      Entrez l'utilisateur de base de données mappé à un IAM rôle/utilisateur pour l'authentification IAM basée sur la base de données. L'option par défaut * est utilisée pour évaluer ; rien n'est fourni dans ce champ.

  4. Sélectionnez Exécuter.

  5. Notez que l'automatisation démarre.

  6. Le document exécute les étapes suivantes :

    • Étape 1 validateInputs :

      Valide les entrées de l'automatisation - SourceEC2InstanceIdentifier (facultatif), DBInstanceIdentifier ouClusterID, et DBIAMRoleName ouDBIAMUserName. Il vérifie si les paramètres de saisie sont présents dans votre compte et dans votre région. Il vérifie également si l'utilisateur a saisi l'un des IAM paramètres (par exemple, DBIAMRoleName ouDBIAMUserName). En outre, il effectue d'autres vérifications, par exemple si la base de données mentionnée est dans le statut Disponible.

    • Étape 2 branchOnSource EC2Provided :

      Vérifie si la source Amazon EC2 est fournie dans les paramètres d'entrée et si la base de données est AmazonRDS. Dans l'affirmative, il passe à l'étape 3. Dans le cas contraire, il ignore l'étape 3, qui est la validation Amazon EC2 -Amazon RDS Connectivity, et passe à l'étape 4.

    • Étape 3 validateRDSConnectivity :

      Si la source Amazon EC2 est fournie dans les paramètres d'entrée et que la base de données est AmazonRDS, l'étape 2 lance l'étape 3. Au cours de cette étape, l'automatisation secondaire AWSSupport-TroubleshootConnectivityToRDS est invoquée pour valider la RDS connectivité Amazon à partir de la source AmazonEC2. Le manuel d'automatisation des enfants AWSSupport-TroubleshootConnectivityToRDS vérifie si les configurations réseau requises (Amazon Virtual Private Cloud [AmazonVPC], groupes de sécurité, liste de contrôle d'accès réseau [NACL], RDS disponibilité d'Amazon) sont en place afin que vous puissiez vous connecter de l'EC2instance Amazon à l'instance AmazonRDS.

    • Étape 4 validateRDSIAMAuthentication :

      Valide si la fonctionnalité IAM d'authentification est activée sur l'RDSinstance Amazon ou le cluster Aurora.

    • Étape 5 validateIAMPolicies :

      Vérifie si les IAM autorisations requises sont présentes dans l'IAMutilisateur/le rôle transmis pour permettre aux IAM informations d'identification de s'authentifier auprès de l'RDSinstance Amazon pour l'utilisateur de base de données spécifié (le cas échéant).

    • Étape 6 generateReport :

      Obtient toutes les informations des étapes précédentes et imprime le résultat ou le résultat de chaque étape. Il répertorie également les étapes à suivre et à effectuer pour se connecter à l'RDSinstance Amazon à l'aide des IAM informations d'identification.

  7. Lorsque l'automatisation est terminée, consultez la section Sorties pour obtenir les résultats détaillés :

    • Vérification de l'autorisation IAM utilisateur/rôle pour se connecter à la base de données :

      Vérifie si les IAM autorisations requises sont présentes dans l'IAMutilisateur/le rôle transmis pour permettre aux IAM informations d'identification de s'authentifier auprès de l'RDSinstance Amazon pour l'utilisateur de base de données spécifié (le cas échéant).

    • Attribut d'authentification IAM basé sur la vérification pour la base de données :

      Vérifie si la fonctionnalité d'IAMauthentification est activée pour le cluster Amazon RDS Database/Aurora spécifié.

    • Vérification de la connectivité entre une EC2 instance Amazon et une RDS instance Amazon :

      Vérifie si les configurations réseau requises (AmazonVPC, groupes de sécuritéNACL, RDS disponibilité d'Amazon) sont en place afin que vous puissiez vous connecter de l'EC2instance Amazon à l'RDSinstance Amazon.

    • Étapes suivantes:

      Répertorie les commandes et les étapes à suivre et à exécuter pour se connecter à l'RDSinstance Amazon à l'aide des IAM informations d'identification.

Références

Systems Manager Automation