AWSSupport-TroubleshootRDSIAMAuthentication - AWS Systems Manager Guide de référence du manuel d'automatisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSSupport-TroubleshootRDSIAMAuthentication

Description

Il AWSSupport-TroubleshootRDSIAMAuthentication permet de résoudre les problèmes d'authentification AWS Identity and Access Management (IAM) pour Amazon RDS pour PostgreSQL, Amazon RDS pour MySQL, Amazon RDS pour MariaDB, Amazon Aurora PostgreSQL et Amazon Aurora MySQL. Utilisez ce runbook pour vérifier la configuration requise pour l'authentification IAM avec une instance Amazon RDS ou un cluster Aurora. Il fournit également des étapes pour corriger les problèmes de connectivité liés à l'instance Amazon RDS ou au cluster Aurora.

Important

Ce runbook ne prend pas en charge Amazon RDS pour Oracle ou Amazon RDS pour Microsoft SQL Server.

Important

Si une instance Amazon EC2 source est fournie et que la base de données cible est Amazon RDS, une automatisation secondaire AWSSupport-TroubleshootConnectivityToRDS est invoquée pour résoudre les problèmes de connectivité TCP. La sortie fournit également des commandes que vous pouvez exécuter sur votre instance Amazon EC2 ou sur votre machine source pour vous connecter aux instances Amazon RDS à l'aide de l'authentification IAM.

Comment fonctionne-t-il ?

Ce runbook comprend six étapes :

  • Étape 1 : Valider les entrées : valide les entrées de l'automatisation.

  • Étape 2 : branchOnSource fourni par EC2 : vérifie si un ID d'instance Amazon EC2 source est fourni dans les paramètres d'entrée.

  • Étape 3 : ValidateDSConnectivity : valide la connectivité Amazon RDS à partir de l'instance Amazon EC2 source, si elle est fournie.

  • Étape 4 : ValidateDSIAMAuthentication : valide si la fonctionnalité d'authentification IAM est activée.

  • Étape 5 : ValidateIAMPolicies : vérifie si les autorisations IAM requises sont présentes dans l'utilisateur/le rôle IAM fourni.

  • Étape 6 : Générer un rapport : génère un rapport des résultats des étapes précédemment exécutées.

Exécuter cette automatisation (console)

Type de document

 Automatisation

Propriétaire

Amazon

Plateformes

Linux

Paramètres

  • AutomationAssumeRole

    Type : chaîne

    Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

  • Type RDS

    Type : chaîne

    Description : (Obligatoire) : Sélectionnez le type de base de données relationnelle à laquelle vous essayez de vous connecter et de vous authentifier.

    Valeurs autorisées : Amazon RDS ou Amazon Aurora Cluster.

  • DB InstanceIdentifier

    Type : chaîne

    Description : (Obligatoire) L'identifiant de l'instance de base de données Amazon RDS ou du cluster de base de données Aurora cible.

    Modèle autorisé : ^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$

    Nombre maximum de caractères : 63

  • SourceEc2 InstanceIdentifier

    Type : AWS::EC2::Instance::Id

    Description : (Facultatif) L'ID de l'instance Amazon EC2 si vous vous connectez à l'instance de base de données Amazon RDS à partir d'une instance Amazon EC2 exécutée dans le même compte et dans la même région. Ne spécifiez pas ce paramètre si la source n'est pas une instance Amazon EC2 ou si le type Amazon RDS cible est un cluster de base de données Aurora.

    Par défaut : ""

  • DBIAM RoleName

    Type : chaîne

    Description : (Facultatif) Le nom du rôle IAM utilisé pour l'authentification basée sur IAM. Indiquez uniquement si le paramètre n'DBIAMUserNameest pas fourni, sinon laissez-le vide. L'un DBIAMRoleName ou l'autre DBIAMUserName doit être fourni.

    Modèle autorisé : ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Nombre maximum de caractères : 64

    Par défaut : ""

  • DBIAM UserName

    Type : chaîne

    Description : (Facultatif) Le nom d'utilisateur IAM utilisé pour l'authentification basée sur IAM. Indiquez uniquement si le DBIAMRoleName paramètre n'est pas fourni, sinon laissez-le vide. L'un DBIAMRoleName ou l'autre DBIAMUserName doit être fourni.

    Modèle autorisé : ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Nombre maximum de caractères : 64

    Par défaut : ""

  • DB UserName

    Type : chaîne

    Description : (Facultatif) Le nom d'utilisateur de base de données mappé à un rôle/utilisateur IAM pour l'authentification basée sur IAM au sein de la base de données. L'option par défaut * évalue si l'rds-db:connectautorisation est accordée à tous les utilisateurs de la base de données.

    Modèle autorisé : ^[a-zA-Z0-9+=,.@*_-]{1,64}$

    Nombre maximum de caractères : 64

    Par défaut : *

Autorisations IAM requises

Le AutomationAssumeRole paramètre nécessite les actions suivantes pour utiliser correctement le runbook.

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedUserPolicies

  • iam:ListRolePolicies

  • iam:ListUserPolicies

  • iam:SimulatePrincipalPolicy

  • rds:DescribeDBClusters

  • rds:DescribeDBInstances

  • ssm:DescribeAutomationStepExecutions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Instructions

  1. Accédez à AWSSupport-TroubleShootRDSIAMAuthentication dans la console. AWS Systems Manager

  2. Sélectionnez Exécuter l'automatisation

  3. Pour les paramètres d'entrée, entrez ce qui suit :

    • AutomationAssumeRole (Facultatif) :

      Amazon Resource Name (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si aucun rôle n'est spécifié, Systems Manager Automation utilise les autorisations de l'utilisateur qui lance ce runbook.

    • RDSType (obligatoire) :

      Sélectionnez le type d'Amazon RDS auquel vous essayez de vous connecter et de vous authentifier. Choisissez l'une des deux valeurs autorisées : Amazon RDS ou Amazon Aurora Cluster.

    • Base de données InstanceIdentifier (obligatoire) :

      Entrez l'identifiant de l'instance de base de données Amazon RDS cible ou du cluster Aurora auquel vous essayez de vous connecter et utilisez les informations d'identification IAM pour l'authentification.

    • SourceEc2 InstanceIdentifier (Facultatif) :

      Fournissez l'ID d'instance Amazon EC2 si vous vous connectez à l'instance de base de données Amazon RDS à partir d'une instance Amazon EC2 présente dans le même compte et dans la même région. Laissez ce champ vide si la source n'est pas Amazon EC2 ou si le type Amazon RDS cible est un cluster Aurora.

    • DBIAM RoleName (facultatif) :

      Entrez le nom du rôle IAM utilisé pour l'authentification basée sur IAM. Indiquez uniquement si DBIAMUserName ce n'est pas le cas ; dans le cas contraire, laissez le champ vide. L'un DBIAMRoleName ou l'autre DBIAMUserName doit être fourni.

    • DBIAM UserName (facultatif) :

      Entrez l'utilisateur IAM utilisé pour l'authentification basée sur IAM. Indiquez uniquement si DBIAMRoleName ce n'est pas le cas, sinon, laissez le champ vide. L'un DBIAMRoleName ou l'autre DBIAMUserName doit être fourni.

    • Base de données UserName (facultatif) :

      Entrez l'utilisateur de base de données mappé à un rôle/utilisateur IAM pour l'authentification basée sur IAM au sein de la base de données. L'option par défaut * est utilisée pour évaluer ; rien n'est fourni dans ce champ.

  4. Sélectionnez Exécuter.

  5. Notez que l'automatisation démarre.

  6. Le document exécute les étapes suivantes :

    • Étape 1 : valider les entrées :

      Valide les entrées de l'automatisation - SourceEC2InstanceIdentifier (facultatif), DBInstanceIdentifier ouClusterID, et DBIAMRoleName ouDBIAMUserName. Il vérifie si les paramètres de saisie sont présents dans votre compte et dans votre région. Il vérifie également si l'utilisateur a saisi l'un des paramètres IAM (par exemple, DBIAMRoleName ouDBIAMUserName). En outre, il effectue d'autres vérifications, par exemple si la base de données mentionnée est dans le statut Disponible.

    • Étape 2 : branchOnSource EC2 a fourni :

      Vérifie si la source Amazon EC2 est fournie dans les paramètres d'entrée et si la base de données est Amazon RDS. Dans l'affirmative, il passe à l'étape 3. Dans le cas contraire, il ignore l'étape 3, qui est la validation de la connectivité Amazon EC2-Amazon RDS, et passe à l'étape 4.

    • Étape 3 : validation de la connectivité DSD :

      Si la source Amazon EC2 est fournie dans les paramètres d'entrée et que la base de données est Amazon RDS, l'étape 2 lance l'étape 3. Au cours de cette étape, l'automatisation secondaire AWSSupport-TroubleshootConnectivityToRDS est invoquée pour valider la connectivité Amazon RDS à partir de la source Amazon EC2. Le manuel d'automatisation des enfants AWSSupport-TroubleshootConnectivityToRDS vérifie si les configurations réseau requises (Amazon Virtual Private Cloud [Amazon VPC], groupes de sécurité, liste de contrôle d'accès réseau [NACL], disponibilité d'Amazon RDS) sont en place afin que vous puissiez vous connecter de l'instance Amazon EC2 à l'instance Amazon RDS.

    • Étape 4 : validation de l'authentification DSIAM :

      Valide si la fonctionnalité d'authentification IAM est activée sur l'instance Amazon RDS ou le cluster Aurora.

    • Étape 5 : valider les politiques IAM :

      Vérifie si les autorisations IAM requises sont présentes dans l'utilisateur/le rôle IAM transmis pour permettre aux informations d'identification IAM de s'authentifier dans l'instance Amazon RDS pour l'utilisateur de base de données spécifié (le cas échéant).

    • Étape 6 : Générer un rapport :

      Obtient toutes les informations des étapes précédentes et imprime le résultat ou le résultat de chaque étape. Il répertorie également les étapes à suivre et à effectuer pour se connecter à l'instance Amazon RDS à l'aide des informations d'identification IAM.

  7. Lorsque l'automatisation est terminée, consultez la section Sorties pour obtenir les résultats détaillés :

    • Vérification de l'autorisation utilisateur/rôle IAM pour se connecter à la base de données :

      Vérifie si les autorisations IAM requises sont présentes dans l'utilisateur/le rôle IAM transmis pour permettre aux informations d'identification IAM de s'authentifier dans l'instance Amazon RDS pour l'utilisateur de base de données spécifié (le cas échéant).

    • Vérification de l'attribut d'authentification basé sur IAM pour la base de données :

      Vérifie si la fonctionnalité d'authentification IAM est activée pour la base de données Amazon RDS ou le cluster Aurora spécifiés.

    • Vérification de la connectivité entre une instance Amazon EC2 et une instance Amazon RDS :

      Vérifie si les configurations réseau requises (Amazon VPC, groupes de sécurité, NACL, disponibilité d'Amazon RDS) sont en place afin que vous puissiez vous connecter de l'instance Amazon EC2 à l'instance Amazon RDS.

    • Étapes suivantes:

      Répertorie les commandes et les étapes à suivre et à exécuter pour se connecter à l'instance Amazon RDS à l'aide des informations d'identification IAM.

Références

Systems Manager Automation