Verwenden der IAM-Authentifizierung für den Amazon RDS-Endpunkt in AWS DMS - AWS Database Migration Service
Konfiguration der IAM-Authentifizierung für den Amazon RDS-Endpunkt in AWS DMSEinschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der IAM-Authentifizierung für den Amazon RDS-Endpunkt in AWS DMS

AWS Die Identity and Access Management (IAM) -Datenbankauthentifizierung bietet verbesserte Sicherheit für Ihre Amazon RDS-Datenbanken, indem der Datenbankzugriff über AWS IAM-Anmeldeinformationen verwaltet wird. Anstatt herkömmliche Datenbankkennwörter zu verwenden, generiert die IAM-Authentifizierung unter Verwendung von Anmeldeinformationen kurzlebige Authentifizierungstoken, die 15 Minuten lang gültig sind. AWS Dieser Ansatz verbessert die Sicherheit erheblich, da Datenbankkennwörter nicht mehr im Anwendungscode gespeichert werden müssen, wodurch das Risiko der Offenlegung von Anmeldeinformationen verringert wird und eine zentrale Zugriffsverwaltung über IAM ermöglicht wird. Es vereinfacht auch die Zugriffsverwaltung, indem bestehende AWS IAM-Rollen und -Richtlinien genutzt werden, sodass Sie den Datenbankzugriff mit demselben IAM-Framework steuern können, das Sie für andere Dienste verwenden. AWS

AWS DMS unterstützt jetzt die IAM-Authentifizierung für Replikationsinstanzen, auf denen DMS-Version 3.6.1 oder höher ausgeführt wird, wenn eine Verbindung zu MySQL-, PostgreSQL-, Aurora PostgreSQL-, Aurora MySQL- oder MariaDB-Endpunkten auf Amazon RDS hergestellt wird. Wenn Sie einen neuen Endpunkt für diese Engines erstellen, können Sie die IAM-Authentifizierung auswählen und eine IAM-Rolle angeben, anstatt Datenbankanmeldedaten anzugeben. Diese Integration erhöht die Sicherheit, da Datenbankkennwörter für Ihre Migrationsaufgaben nicht mehr verwaltet und gespeichert werden müssen.

Konfiguration der IAM-Authentifizierung für den Amazon RDS-Endpunkt in AWS DMS

Wenn Sie einen Endpunkt erstellen, können Sie die IAM-Authentifizierung für Ihre Amazon RDS-Datenbank konfigurieren. Gehen Sie wie folgt vor, um die IAM-Authentifizierung zu konfigurieren:

  1. Stellen Sie sicher, dass Amazon RDS und der Datenbankbenutzer die IAM-Authentifizierung aktiviert haben. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der IAM-Datenbankauthentifizierung im Amazon Relational Database Service Service-Benutzerhandbuch.

  2. Navigieren Sie zur IAM-Konsole und erstellen Sie eine IAM-Rolle mit den folgenden Richtlinien:

    Richtlinie

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "rds-db:connect"
            ],
            "Resource": [
                "arn:aws:rds-db:<region>:<account-id>:dbuser:<db-identifier>/<username>"
            ]
        }
    ]
}

    Vertrauensrichtlinie:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dms.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Navigieren Sie während der Endpunktkonfiguration in der AWS DMS Konsole zum Abschnitt Zugriff auf die Endpunktdatenbank und wählen Sie IAM-Authentifizierung aus.

  4. Wählen Sie im Dropdownmenü IAM-Rolle für die RDS-Datenbankauthentifizierung die IAM-Rolle mit den entsprechenden Berechtigungen für den Zugriff auf die Datenbank aus.

    Weitere Informationen finden Sie unter Quell- und Zielendpunkte erstellen.

  1. Stellen Sie sicher, dass Amazon RDS und der Datenbankbenutzer die IAM-Authentifizierung aktiviert haben. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren der IAM-Datenbankauthentifizierung im Amazon Relational Database Service Service-Benutzerhandbuch.

  2. Navigieren Sie zur AWS CLI, erstellen Sie eine IAM-Rolle und lassen Sie DMS die Rolle übernehmen:

    Richtlinie:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "rds-db:connect"
            ],
            "Resource": [
                "arn:aws:rds-db:<region>:<account-id>:dbuser:<db-identifier>/<username>"
            ]
        }
    ]
}

    Vertrauensrichtlinie:

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dms.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Führen Sie den folgenden Befehl aus, um das Zertifikat zu importieren und die PEM-Datei herunterzuladen. Weitere Informationen finden Sie unter Zertifikatspakete für Amazon RDS herunterladen im Amazon Relational Database Service Service-Benutzerhandbuch. 

    aws dms import-certificate --certificate-identifier rdsglobal --certificate-pem file://~/global-bundle.pem

  4. Führen Sie die folgenden Befehle aus, um einen IAM-Endpunkt zu erstellen:

    • Für PostgreSQL/Aurora PostgreSQL-Endpunkte (When sslmode ist auf gesetztrequired, --certificate-arn Flag ist nicht erforderlich): 

      aws dms create-endpoint --endpoint-identifier <endpoint-name> --endpoint-type <source/target> --engine-name <postgres/aurora-postgres> --username <db username with iam auth privileges> --server-name <db server name> --port <port number> --ssl-mode <required/verify-ca/verify-full> --postgre-sql-settings "{\"ServiceAccessRoleArn\": \"role arn created from step 2 providing permissions for iam authentication\", \"AuthenticationMethod\": \"iam\", \"DatabaseName\": \"database name\"}" --certificate-arn <if sslmode is verify-ca/verify full use cert arn generated in step 3, otherwise this parameter is not required>

    • Für MySQL-, MariaDB- oder Aurora MySQL-Endpunkte: 

      aws dms create-endpoint --endpoint-identifier <endpoint-name> --endpoint-type <source/target> --engine-name <mysql/mariadb/aurora> --username <db username with iam auth privileges> --server-name <db server name> --port <port number> --ssl-mode <verify-ca/verify-full> --my-sql-settings "{\"ServiceAccessRoleArn\": \"role arn created from step 2 providing permissions for iam authentication\", \"AuthenticationMethod\": \"iam\", \"DatabaseName\": \"database name\"}" --certificate-arn <cert arn from previously imported cert in step 3>

  5. Führen Sie eine Testverbindung mit der gewünschten Replikationsinstanz aus, um die Zuordnung der Instanzendpunkte zu erstellen und zu überprüfen, ob alles korrekt eingerichtet ist: 

    aws dms test-connection --replication-instance-arn <replication instance arn> --endpoint-arn <endpoint arn from previously created endpoint in step 4>
    Anmerkung

    Wenn Sie die IAM-Authentifizierung verwenden, muss die in Test-Connection bereitgestellte Replikationsinstanz AWS DMS Version 3.6.1 oder höher haben.

Einschränkungen

AWS DMS hat folgende Einschränkungen bei der Verwendung der IAM-Authentifizierung mit dem Amazon RDS-Endpunkt:

  • Derzeit unterstützen Amazon RDS PostgreSQL- und Amazon Aurora PostgreSQL-Instances keine CDC-Verbindungen mit IAM-Authentifizierung. Weitere Informationen finden Sie unter Einschränkungen für die IAM-Datenbankauthentifizierung im Amazon Relational Database Service Service-Benutzerhandbuch.