AWSSupport-TroubleshootRDSIAMAuthentication - AWS Systems Manager Referensi buku runbook otomatisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSSupport-TroubleshootRDSIAMAuthentication

Deskripsi

AWSSupport-TroubleshootRDSIAMAuthenticationIni membantu memecahkan masalah AWS Identity and Access Management (IAM) otentikasi untuk Amazon untuk PostgreSQL, Amazon RDS untuk My, Amazon RDS untuk MariaDB, SQL Amazon Aurora RDS Postgre, dan Amazon SQL Aurora My instance. SQL Gunakan runbook ini untuk memverifikasi konfigurasi yang diperlukan untuk IAM otentikasi dengan RDS instans Amazon atau Aurora Cluster. Ini juga menyediakan langkah-langkah untuk memperbaiki masalah konektivitas ke Amazon RDS Instance atau Aurora Cluster.

penting

Runbook ini tidak mendukung Amazon RDS untuk Oracle atau Amazon untuk RDS Microsoft SQL Server.

penting

Jika EC2 Instans Amazon sumber disediakan dan Database target adalah AmazonRDS, otomatisasi anak akan AWSSupport-TroubleshootConnectivityToRDS dipanggil untuk memecahkan masalah konektivitasTCP. Output juga menyediakan perintah yang dapat Anda jalankan di EC2 instans Amazon atau mesin sumber untuk terhubung ke RDS instans Amazon menggunakan IAM otentikasi.

Bagaimana cara kerjanya?

Runbook ini terdiri dari enam langkah:

  • Langkah 1:validateInputs: Memvalidasi input ke otomatisasi.

  • Langkah 2: branchOnSourceEC2Provided: Memverifikasi apakah ID EC2 Instans Amazon sumber disediakan dalam parameter input.

  • Langkah 3:validateRDSConnectivity: Memvalidasi RDS konektivitas Amazon dari EC2 instans Amazon sumber jika disediakan.

  • Langkah 4:validateRDSIAMAuthentication: Memvalidasi jika fitur IAM Otentikasi diaktifkan.

  • Langkah 5validateIAMPolicies: Memverifikasi apakah IAM izin yang diperlukan ada di IAM pengguna/peran yang disediakan.

  • Langkah 6:generateReport: Menghasilkan laporan hasil dari langkah-langkah yang dieksekusi sebelumnya.

Jalankan Otomasi ini (konsol)

Jenis dokumen

Otomatisasi

Pemilik

Amazon

Platform

Linux

Parameter

  • AutomationAssumeRole

    Tipe: String

    Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

  • RDSType

    Tipe: String

    Deskripsi: (Wajib): Pilih jenis database relasional yang Anda coba sambungkan dan autentikasi.

    Nilai yang Diizinkan: Amazon RDS atau Amazon Aurora Cluster.

  • DBInstanceIdentifier

    Tipe: String

    Deskripsi: (Wajib) Pengidentifikasi Instance RDS Basis Data Amazon target atau Cluster Basis Data Aurora.

    Pola yang Diizinkan: ^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$

    Karakter Maks: 63

  • SourceEc2 InstanceIdentifier

    Tipe: AWS::EC2::Instance::Id

    Deskripsi: (Opsional) ID EC2 Instans Amazon jika Anda menyambung ke Instans RDS Basis Data Amazon dari EC2 Instans Amazon yang berjalan di akun dan wilayah yang sama. Jangan tentukan parameter ini jika sumbernya bukan EC2 instance Amazon atau jika RDS jenis Amazon target adalah Cluster Basis Data Aurora.

    Default: ""

  • DBIAMRoleName

    Tipe: String

    Deskripsi: (Opsional) Nama IAM peran yang digunakan untuk otentikasi IAM berbasis. Berikan hanya jika parameter tidak DBIAMUserName disediakan, jika tidak biarkan kosong. Entah DBIAMRoleName atau DBIAMUserName harus disediakan.

    Pola yang Diizinkan: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Karakter Maks: 64

    Default: ""

  • DBIAMUserName

    Tipe: String

    Deskripsi: (Opsional) Nama IAM pengguna yang digunakan untuk otentikasi IAM berbasis. Berikan hanya jika DBIAMRoleName parameter tidak disediakan, jika tidak biarkan kosong. Entah DBIAMRoleName atau DBIAMUserName harus disediakan.

    Pola yang Diizinkan: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Karakter Maks: 64

    Default: ""

  • DBUserName

    Tipe: String

    Deskripsi: (Opsional) Nama pengguna database dipetakan ke IAM peran/pengguna untuk otentikasi IAM berbasis dalam database. Opsi default * mengevaluasi apakah rds-db:connect izin diizinkan untuk semua pengguna di Database.

    Pola yang Diizinkan: ^[a-zA-Z0-9+=,.@*_-]{1,64}$

    Karakter Maks: 64

    Default: *

IAMIzin yang diperlukan

AutomationAssumeRoleParameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedUserPolicies

  • iam:ListRolePolicies

  • iam:ListUserPolicies

  • iam:SimulatePrincipalPolicy

  • rds:DescribeDBClusters

  • rds:DescribeDBInstances

  • ssm:DescribeAutomationStepExecutions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Instruksi

  1. Arahkan ke AWSSupport-T roubleshootRDSIAMAuthentication di AWS Systems Manager Konsol.

  2. Pilih Jalankan Otomasi

  3. Untuk parameter input, masukkan yang berikut ini:

    • AutomationAssumeRole(Opsional):

      Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.

    • RDSType(Diperlukan):

      Pilih jenis Amazon RDS yang Anda coba sambungkan dan autentikasi. Pilih dari dua nilai yang diizinkan: Amazon RDS atau Amazon Aurora Cluster.

    • DBInstanceIdentifier(Diperlukan):

      Masukkan pengenal Instans RDS Basis Data Amazon target atau Cluster Aurora yang Anda coba sambungkan dan IAM gunakan kredensil untuk autentikasi.

    • SourceEc2 InstanceIdentifier (Opsional):

      Berikan ID EC2 Instans Amazon jika Anda terhubung ke Instans RDS Basis Data Amazon dari EC2 Instans Amazon yang ada di akun dan wilayah yang sama. Biarkan kosong jika sumbernya bukan Amazon EC2 atau jika RDS jenis Amazon target adalah Aurora Cluster.

    • DBIAMRoleName(Opsional):

      Masukkan nama IAM Peran yang digunakan untuk otentikasi IAM Berbasis. Berikan hanya jika tidak DBIAMUserName disediakan; jika tidak, biarkan kosong. Entah DBIAMRoleName atau DBIAMUserName harus disediakan.

    • DBIAMUserName(Opsional):

      Masukkan IAM Pengguna yang digunakan untuk otentikasi IAM berbasis. Berikan hanya jika tidak DBIAMRoleName disediakan, jika tidak, biarkan kosong. Entah DBIAMRoleName atau DBIAMUserName harus disediakan.

    • DBUserName(Opsional):

      Masukkan pengguna database yang dipetakan ke IAM peran/pengguna untuk otentikasi IAM berbasis dalam database. Opsi default * digunakan untuk mengevaluasi; tidak ada yang disediakan di bidang ini.

  4. Pilih Jalankan.

  5. Perhatikan bahwa otomatisasi dimulai.

  6. Dokumen melakukan langkah-langkah berikut:

    • Langkah 1:validateInputs:

      Memvalidasi input ke otomatisasi - SourceEC2InstanceIdentifier (opsional), DBInstanceIdentifier atauClusterID, dan DBIAMRoleName atau. DBIAMUserName Ini memverifikasi apakah parameter input yang dimasukkan ada di akun dan wilayah Anda. Ini juga memverifikasi apakah pengguna memasukkan salah satu IAM parameter (misalnya, DBIAMRoleName atauDBIAMUserName). Selain itu, ia melakukan verifikasi lain, seperti jika Database yang disebutkan dalam status Tersedia.

    • Langkah 2: branchOnSourceEC2Provided:

      Memverifikasi apakah Sumber Amazon EC2 disediakan dalam parameter input dan Database adalah AmazonRDS. Jika ya, lanjutkan ke langkah 3. Jika tidak, ia melewati langkah 3, yaitu validasi Amazon EC2 -Amazon RDS Connectivity dan melanjutkan ke langkah 4.

    • Langkah 3:validateRDSConnectivity:

      Jika Sumber Amazon EC2 disediakan dalam parameter input dan Database adalah AmazonRDS, langkah 2 memulai langkah 3. Pada langkah ini, otomatisasi AWSSupport-TroubleshootConnectivityToRDS anak dipanggil untuk memvalidasi RDS konektivitas Amazon dari sumber Amazon. EC2 Runbook otomatisasi anak AWSSupport-TroubleshootConnectivityToRDS memverifikasi apakah konfigurasi jaringan yang diperlukan (Amazon Virtual Private Cloud [AmazonVPC], Grup Keamanan, Daftar Kontrol Akses Jaringan []NACL, RDS ketersediaan Amazon) sudah ada sehingga Anda dapat terhubung dari EC2 instans Amazon ke instans Amazon. RDS

    • Langkah 4:validateRDSIAMAuthentication:

      Memvalidasi jika fitur IAM Otentikasi diaktifkan pada RDS instans Amazon atau Aurora Cluster.

    • Langkah 5:validateIAMPolicies:

      Memverifikasi jika IAM izin yang diperlukan ada di IAM pengguna/peran yang diteruskan untuk mengaktifkan IAM kredensil untuk mengautentikasi ke RDS instans Amazon untuk Pengguna Database yang ditentukan (jika ada).

    • Langkah 6:generateReport:

      Memperoleh semua informasi dari langkah sebelumnya dan mencetak hasil atau output dari setiap langkah. Ini juga mencantumkan langkah-langkah untuk merujuk dan melakukan, untuk terhubung ke RDS instans Amazon menggunakan IAM kredensialnya.

  7. Saat otomatisasi selesai, tinjau bagian Output untuk hasil terperinci:

    • Memeriksa izin IAM Pengguna/Peran untuk terhubung ke Database:

      Memverifikasi jika IAM izin yang diperlukan ada di IAM pengguna/peran yang diteruskan untuk mengaktifkan IAM kredensil untuk mengautentikasi ke RDS Instance Amazon untuk Pengguna Database yang ditentukan (jika ada).

    • Memeriksa Atribut Otentikasi IAM Berbasis untuk Database:

      Memverifikasi jika fitur IAM autentikasi diaktifkan untuk Amazon RDS Database/Aurora Cluster yang ditentukan.

    • Memeriksa Konektivitas dari EC2 Instans Amazon ke RDS Instans Amazon:

      Memverifikasi apakah konfigurasi jaringan yang diperlukan (AmazonVPC, Grup Keamanan,, RDS ketersediaan NACL Amazon) sudah tersedia sehingga Anda dapat terhubung dari EC2 instans Amazon ke Instans AmazonRDS.

    • Langkah selanjutnya:

      Daftar perintah dan langkah untuk merujuk dan melakukan, untuk menyambung ke RDS Instans Amazon menggunakan IAM kredensialnya.

Referensi

Otomatisasi Systems Manager