AWSSupport-TroubleshootRDSIAMAuthentication - AWS Systems Manager Riferimento al runbook di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSupport-TroubleshootRDSIAMAuthentication

Descrizione

AWSSupport-TroubleshootRDSIAMAuthenticationAiuta a risolvere i problemi di autenticazione AWS Identity and Access Management (IAM) per Amazon RDS for PostgreSQL, Amazon RDS for MySQL, Amazon RDS for MariaDB, Amazon Aurora PostgreSQL e Amazon Aurora MySQL. Usa questo runbook per verificare la configurazione richiesta per l'autenticazione IAM con un'istanza Amazon RDS o un cluster Aurora. Fornisce inoltre passaggi per correggere i problemi di connettività all'istanza Amazon RDS o al cluster Aurora.

Importante

Questo runbook non supporta Amazon RDS per Oracle o Amazon RDS per Microsoft SQL Server.

Importante

Se viene fornita un' EC2 istanza Amazon di origine e il database di destinazione è Amazon RDS, AWSSupport-TroubleshootConnectivityToRDS viene richiamata un'automazione secondaria per risolvere i problemi di connettività TCP. L'output fornisce anche comandi che puoi eseguire sull' EC2 istanza Amazon o sul computer di origine per connetterti alle istanze Amazon RDS utilizzando l'autenticazione IAM.

Come funziona?

Questo runbook è composto da sei passaggi:

  • Fase 1: ValidateInputs: convalida gli input dell'automazione.

  • Fase 2: branchOnSource EC2 Fornito: verifica se nei parametri di input viene fornito un ID Amazon EC2 Instance di origine.

  • Fase 3: convalidaRDSConnectivity: convalida la connettività Amazon RDS dall' EC2 istanza Amazon di origine, se fornita.

  • Fase 4: convalidaRDSIAMAuthentication: verifica se la funzionalità di autenticazione IAM è abilitata.

  • Passaggio 5: convalidaIAMPolicies: verifica se le autorizzazioni IAM richieste sono presenti nell'utente/ruolo IAM fornito.

  • Fase 6: GenerateReport: genera un report dei risultati dei passaggi eseguiti in precedenza.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

Linux

Parametri

  • AutomationAssumeRole

    Tipo: stringa

    Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

  • RDSType

    Tipo: stringa

    Descrizione: (obbligatorio): seleziona il tipo di database relazionale a cui stai tentando di connetterti e autenticarti.

    Valori consentiti: o Amazon RDS Amazon Aurora Cluster.

  • DBInstanceIdentificatore

    Tipo: stringa

    Descrizione: (Obbligatorio) L'identificatore dell'istanza di database Amazon RDS o del cluster di database Aurora di destinazione.

    Modello consentito: ^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$

    Numero massimo di caratteri: 63

  • SourceEc2InstanceIdentifier

    Tipo: AWS::EC2::Instance::Id

    Descrizione: (Facoltativo) L'ID Amazon EC2 Instance se ti connetti all'istanza di database Amazon RDS da un' EC2 istanza Amazon in esecuzione nello stesso account e nella stessa regione. Non specificare questo parametro se l'origine non è un' EC2 istanza Amazon o se il tipo di Amazon RDS di destinazione è un cluster di database Aurora.

    Impostazione predefinita: ""

  • DBIAMRoleNome

    Tipo: stringa

    Descrizione: (Facoltativo) Il nome del ruolo IAM utilizzato per l'autenticazione basata su IAM. Fornisci solo se il parametro non DBIAMUserName viene fornito, altrimenti lascialo vuoto. DBIAMRoleNameO DBIAMUserName deve essere fornito.

    Modello consentito: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Numero massimo di caratteri: 64

    Impostazione predefinita: ""

  • DBIAMUserNome

    Tipo: stringa

    Descrizione: (Facoltativo) Il nome utente IAM utilizzato per l'autenticazione basata su IAM. Fornisci solo se il DBIAMRoleName parametro non viene fornito, altrimenti lascialo vuoto. DBIAMRoleNameO DBIAMUserName deve essere fornito.

    Modello consentito: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Numero massimo di caratteri: 64

    Impostazione predefinita: ""

  • DBUserNome

    Tipo: stringa

    Descrizione: (Facoltativo) Il nome utente del database mappato a un ruolo/utente IAM per l'autenticazione basata su IAM all'interno del database. L'opzione predefinita * valuta se l'rds-db:connectautorizzazione è consentita a tutti gli utenti del database.

    Modello consentito: ^[a-zA-Z0-9+=,.@*_-]{1,64}$

    Numero massimo di caratteri: 64

    Impostazione predefinita: *

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedUserPolicies

  • iam:ListRolePolicies

  • iam:ListUserPolicies

  • iam:SimulatePrincipalPolicy

  • rds:DescribeDBClusters

  • rds:DescribeDBInstances

  • ssm:DescribeAutomationStepExecutions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Istruzioni

  1. Accedere a AWSSupport-TroubleshootRDSIAMAuthenticationnella AWS Systems Manager console.

  2. Seleziona Execute Automation

  3. Per i parametri di input, inserisci quanto segue:

    • AutomationAssumeRole(Facoltativo):

      L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

    • RDSType(Obbligatorio):

      Seleziona il tipo di Amazon RDS a cui stai tentando di connetterti e autenticarti. Scegli tra i due valori consentiti: oppure Amazon RDS Amazon Aurora Cluster.

    • DBInstanceIdentificatore (obbligatorio):

      Inserisci l'identificatore dell'istanza di database Amazon RDS di destinazione o del cluster Aurora a cui stai tentando di connetterti e utilizza le credenziali IAM per l'autenticazione.

    • SourceEc2 (Facoltativo): InstanceIdentifier

      Fornisci l'ID Amazon EC2 Instance se ti connetti all'istanza di database Amazon RDS da un' EC2 istanza Amazon presente nello stesso account e nella stessa regione. Lascia vuoto se l'origine non è Amazon EC2 o se il tipo di Amazon RDS di destinazione è un cluster Aurora.

    • DBIAMRoleNome (opzionale):

      Inserisci il nome del ruolo IAM utilizzato per l'autenticazione basata su IAM. Fornisci solo se non DBIAMUserName viene fornito; in caso contrario, lascia vuoto il campo. Fornito DBIAMRoleName o DBIAMUserName deve essere fornito.

    • DBIAMUserNome (facoltativo):

      Inserisci l'utente IAM utilizzato per l'autenticazione basata su IAM. Fornisci solo se non DBIAMRoleName viene fornito, altrimenti lascia vuoto. Fornito DBIAMRoleName o DBIAMUserName deve essere fornito.

    • DBUserNome (facoltativo):

      Inserisci l'utente del database mappato a un ruolo/utente IAM per l'autenticazione basata su IAM all'interno del database. L'opzione predefinita * viene utilizzata per la valutazione; non viene fornito nulla in questo campo.

    Input parameters form for AWS Systems Manager with fields for EC2 instance and database configuration.

  4. Seleziona Esegui.

  5. Notate che l'automazione si avvia.

  6. Il documento esegue le seguenti operazioni:

    • Fase 1: Convalida degli input:

      Convalida gli input dell'automazione - SourceEC2InstanceIdentifier (opzionale), or, DBInstanceIdentifier and or. ClusterID DBIAMRoleName DBIAMUserName Verifica se i parametri di input inseriti sono presenti nel tuo account e nella tua regione. Verifica inoltre se l'utente ha inserito uno dei parametri IAM (ad esempio, DBIAMRoleName oDBIAMUserName). Inoltre, esegue altre verifiche, ad esempio se il database menzionato è nello stato Disponibile.

    • Fase 2: branchOnSource EC2 Fornito:

      Verifica se nei parametri di input EC2 viene fornito il codice sorgente Amazon e se il database è Amazon RDS. In caso affermativo, si procede alla fase 3. In caso contrario, salta il passaggio 3, che è la convalida della connettività Amazon EC2 -Amazon RDS, e procede al passaggio 4.

    • Fase 3: convalida: RDSConnectivity

      Se nei parametri di input EC2 viene fornito il codice Amazon di origine e il database è Amazon RDS, la fase 2 avvia la fase 3. In questa fase, AWSSupport-TroubleshootConnectivityToRDS viene richiamata l'automazione secondaria per convalidare la connettività Amazon RDS dall'origine Amazon. EC2 Il runbook di automazione secondario AWSSupport-TroubleshootConnectivityToRDS verifica se le configurazioni di rete richieste (Amazon Virtual Private Cloud [Amazon VPC], Security Groups, Network Access Control List [NACL], disponibilità di Amazon RDS) sono presenti in modo da consentirti di connetterti dall'istanza Amazon all'istanza Amazon RDS. EC2

    • RDSIAMAuthenticationFase 4: convalida:

      Verifica se la funzionalità di autenticazione IAM è abilitata sull'istanza Amazon RDS o sul cluster Aurora.

    • Fase 5: convalida: IAMPolicies

      Verifica se le autorizzazioni IAM richieste sono presenti nell'utente/ruolo IAM passato per consentire alle credenziali IAM di autenticarsi nell'istanza Amazon RDS per l'utente del database specificato (se presente).

    • Fase 6: GenerateReport:

      Ottiene tutte le informazioni dei passaggi precedenti e stampa il risultato o l'output di ogni passaggio. Elenca inoltre i passaggi a cui fare riferimento ed eseguire per connettersi all'istanza Amazon RDS utilizzando le credenziali IAM.

  7. Una volta completata l'automazione, consulta la sezione Output per i risultati dettagliati:

    • Verifica dell'autorizzazione User/Role IAM per la connessione al database:

      Verifica se le autorizzazioni IAM richieste sono presenti nell'utente/ruolo IAM passato per consentire alle credenziali IAM di autenticarsi nell'istanza Amazon RDS per l'utente del database specificato (se presente).

    • Verifica dell'attributo di autenticazione basato su IAM per il database:

      Verifica se la funzionalità dell'autenticazione IAM è abilitata per il cluster Amazon RDS Database/Aurora specificato.

    • Verifica della connettività da Amazon EC2 Instance a Amazon RDS:

      Verifica se le configurazioni di rete richieste (Amazon VPC, Security Groups, NACL, disponibilità di Amazon RDS) sono presenti in modo da poterti connettere dall'istanza Amazon all'istanza EC2 Amazon RDS.

    • Fasi successive:

      Elenca i comandi e i passaggi a cui fare riferimento ed eseguire per connettersi all'istanza Amazon RDS utilizzando le credenziali IAM.

    Troubleshooting results for IAM permissions and authentication for an Aurora MySQL database.

Riferimenti

Systems Manager Automation