本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon Aurora DSQL 產生身分驗證記號
若要使用 SQL 用戶端連線至 Amazon Aurora DSQL,請產生身分驗證記號作為密碼。此記號僅用於驗證連線。連線建立後,即使身分驗證記號過期,連線仍然有效。
如果您使用 AWS 主控台建立身分驗證字符,字符預設會在一小時內自動過期。如果您使用 AWS CLI 或 SDKs來建立權杖,則預設值為 15 分鐘。期限上限為 604,800 秒,也就是一週。若要從用戶端再次連線至 Aurora DSQL,您可以使用尚未過期的相同身分驗證記號,也可以產生新的記號。
若要開始產生記號,請在 Aurora DSQL 中建立 IAM 政策和叢集。然後使用 AWS 主控台 AWS CLI、 或 AWS SDKs來產生字符。
視您用來連線的資料庫角色而定,您至少必須擁有 使用 IAM 連線至叢集 列出的 IAM 許可權限。
使用 AWS 主控台在 Aurora DSQL 中產生身分驗證字符
Aurora DSQL 會使用記號而非密碼驗證使用者身分。您可以從主控台產生記號。
若要進一步瞭解 Aurora DSQL 的自訂資料庫角色和 IAM,請參閱 Aurora DSQL 的身分驗證和授權。
使用 在 Aurora DSQL 中 AWS CloudShell 產生身分驗證字符
在使用 產生身分驗證字符之前 AWS CloudShell,請確定您建立 Aurora DSQL 叢集。
使用 產生身分驗證字符 AWS CloudShell
-
登入 AWS 管理主控台 並開啟位於 的 Aurora DSQL 主控台https://console.aws.amazon.com/dsql。
-
在 AWS 主控台的左下角,選擇 AWS CloudShell。
-
執行下列命令以產生 admin 角色的身分驗證記號。以您的區域取代 us-east-1,並以您的叢集端點取代 your_cluster_endpoint。
如果您不是以 admin 身分連線,請改用 generate-db-connect-auth-token。
aws dsql generate-db-connect-admin-auth-token \
--expires-in 3600 \
--region us-east-1 \
--hostname your_cluster_endpoint
如果您遇到問題,請參閱對 IAM 進行疑難排解和如何對 IAM 政策的存取遭拒或未經授權的操作錯誤進行疑難排解?。
-
使用下列命令以 psql 開始連線至叢集。
PGSSLMODE=require \
psql --dbname postgres \
--username admin \
--host cluster_endpoint
-
您應該會看到提示要求提供密碼。複製您產生的記號,並確保其中不包含任何額外的空格或字元。從 psql 將其貼上至下列提示。
Password for user admin:
-
按 Enter。系統應顯示 PostgreSQL 提示字元。
postgres=>
如果您收到存取遭拒錯誤,請確保您的 IAM 身分具有 dsql:DbConnectAdmin 許可權限。如果您具有許可權限但仍繼續發生存取遭拒錯誤,請參閱對 IAM 進行疑難排解和如何對 IAM 政策的存取遭拒或未經授權的操作錯誤進行疑難排解?。
若要進一步瞭解 Aurora DSQL 的自訂資料庫角色和 IAM,請參閱 Aurora DSQL 的身分驗證和授權。
使用 AWS CLI 在 Aurora DSQL 中產生身分驗證字符
若您的叢集為 ACTIVE,可以使用 aws dsql 命令在 CLI 上產生身分驗證記號。請使用下列任一技巧:
下列範例使用下列屬性產生 admin 角色的身分驗證記號。
下列範例設定的到期時間為記號在 3,600 秒 (1 小時) 後到期。
- Linux and macOS
-
aws dsql generate-db-connect-admin-auth-token \
--region region \
--expires-in 3600 \
--hostname your_cluster_endpoint
- Windows
-
aws dsql generate-db-connect-admin-auth-token ^
--region=region ^
--expires-in=3600 ^
--hostname=your_cluster_endpoint
使用 SDK 在 Aurora DSQL 中產生記號
您可以在叢集處於 ACTIVE 狀態時為叢集產生身分驗證記號。SDK 範例使用以下屬性產生 admin 角色的身分驗證記號:
-
your_cluster_endpoint (或 yourClusterEndpoint):Aurora DSQL 叢集端點。命名格式為 your_cluster_identifier.dsql.region.on.aws01abc2ldefg3hijklmnopqurstu.dsql.us-east-1.on.aws 所示。
-
region (或 RegionEndpoint) – AWS 區域 叢集所在的 ,例如 us-east-2或 us-east-1。
- Python SDK
-
您可以透過下列方式產生記號:
def generate_token(your_cluster_endpoint, region):
client = boto3.client("dsql", region_name=region)
# use `generate_db_connect_auth_token` instead if you are not connecting as admin.
token = client.generate_db_connect_admin_auth_token(your_cluster_endpoint, region)
print(token)
return token
- C++ SDK
-
您可以透過下列方式產生記號:
#include <aws/core/Aws.h>
#include <aws/dsql/DSQLClient.h>
#include <iostream>
using namespace Aws;
using namespace Aws::DSQL;
std::string generateToken(String yourClusterEndpoint, String region) {
Aws::SDKOptions options;
Aws::InitAPI(options);
DSQLClientConfiguration clientConfig;
clientConfig.region = region;
DSQLClient client{clientConfig};
std::string token = "";
// If you are not using the admin role to connect, use GenerateDBConnectAuthToken instead
const auto presignedString = client.GenerateDBConnectAdminAuthToken(yourClusterEndpoint, region);
if (presignedString.IsSuccess()) {
token = presignedString.GetResult();
} else {
std::cerr << "Token generation failed." << std::endl;
}
std::cout << token << std::endl;
Aws::ShutdownAPI(options);
return token;
}
- JavaScript SDK
-
您可以透過下列方式產生記號:
import { DsqlSigner } from "@aws-sdk/dsql-signer";
async function generateToken(yourClusterEndpoint, region) {
const signer = new DsqlSigner({
hostname: yourClusterEndpoint,
region,
});
try {
// Use `getDbConnectAuthToken` if you are _not_ logging in as the `admin` user
const token = await signer.getDbConnectAdminAuthToken();
console.log(token);
return token;
} catch (error) {
console.error("Failed to generate token: ", error);
throw error;
}
}
- Java SDK
-
您可以透過下列方式產生記號:
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.services.dsql.DsqlUtilities;
import software.amazon.awssdk.regions.Region;
public class GenerateAuthToken {
public static String generateToken(String yourClusterEndpoint, Region region) {
DsqlUtilities utilities = DsqlUtilities.builder()
.region(region)
.credentialsProvider(DefaultCredentialsProvider.create())
.build();
// Use `generateDbConnectAuthToken` if you are _not_ logging in as `admin` user
String token = utilities.generateDbConnectAdminAuthToken(builder -> {
builder.hostname(yourClusterEndpoint)
.region(region);
});
System.out.println(token);
return token;
}
}
- Rust SDK
-
您可以透過下列方式產生記號:
use aws_config::{BehaviorVersion, Region};
use aws_sdk_dsql::auth_token::{AuthTokenGenerator, Config};
async fn generate_token(your_cluster_endpoint: String, region: String) -> String {
let sdk_config = aws_config::load_defaults(BehaviorVersion::latest()).await;
let signer = AuthTokenGenerator::new(
Config::builder()
.hostname(&your_cluster_endpoint)
.region(Region::new(region))
.build()
.unwrap(),
);
// Use `db_connect_auth_token` if you are _not_ logging in as `admin` user
let token = signer.db_connect_admin_auth_token(&sdk_config).await.unwrap();
println!("{}", token);
token.to_string()
}
- Ruby SDK
-
您可以透過下列方式產生記號:
require 'aws-sdk-dsql'
def generate_token(your_cluster_endpoint, region)
credentials = Aws::SharedCredentials.new()
begin
token_generator = Aws::DSQL::AuthTokenGenerator.new({
:credentials => credentials
})
# if you're not using admin role, use generate_db_connect_auth_token instead
token = token_generator.generate_db_connect_admin_auth_token({
:endpoint => your_cluster_endpoint,
:region => region
})
rescue => error
puts error.full_message
end
end
- .NET
-
適用於 .NET 的官方 SDK 並未包含內建 API 呼叫用於產生 Aurora DSQL 的身分驗證記號。您必須改用 DSQLAuthTokenGenerator 這項公用程式類別。下列程式碼範例示範如何產生 .NET 的身分驗證記號。
您可以透過下列方式產生記號:
下列範例使用 DSQLAuthTokenGenerator 公用程式類別,為具有 admin 角色的使用者產生身分驗證記號。以您的叢集端點取代 insert-dsql-cluster-endpoint。
using Amazon;
using Amazon.DSQL.Util;
using Amazon.Runtime;
var yourClusterEndpoint = "insert-dsql-cluster-endpoint";
AWSCredentials credentials = FallbackCredentialsFactory.GetCredentials();
var token = DSQLAuthTokenGenerator.GenerateDbConnectAdminAuthToken(credentials, RegionEndpoint.USEast1, yourClusterEndpoint);
Console.WriteLine(token);
- Golang
-
Golang SDK 不提供內建方法用於產生預先簽署記號。您必須手動建構已簽署的請求,如下列程式碼範例所示。
在下列程式碼範例中,根據 PostgreSQL 使用者指定 action:
除了 yourClusterEndpoint 和 region 之外,下列範例使用動作。根據 PostgreSQL 使用者指定動作。
func GenerateDbConnectAdminAuthToken(yourClusterEndpoint string, region string, action string) (string, error) {
// Fetch credentials
sess, err := session.NewSession()
if err != nil {
return "", err
}
creds, err := sess.Config.Credentials.Get()
if err != nil {
return "", err
}
staticCredentials := credentials.NewStaticCredentials(
creds.AccessKeyID,
creds.SecretAccessKey,
creds.SessionToken,
)
// The scheme is arbitrary and is only needed because validation of the URL requires one.
endpoint := "https://" + yourClusterEndpoint
req, err := http.NewRequest("GET", endpoint, nil)
if err != nil {
return "", err
}
values := req.URL.Query()
values.Set("Action", action)
req.URL.RawQuery = values.Encode()
signer := v4.Signer{
Credentials: staticCredentials,
}
_, err = signer.Presign(req, nil, "dsql", region, 15*time.Minute, time.Now())
if err != nil {
return "", err
}
url := req.URL.String()[len("https://"):]
return url, nil
}
