View a markdown version of this page

AWSSupport-TroubleshootRDSIAMAuthentication - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-TroubleshootRDSIAMAuthentication

Descripción

AWSSupport-TroubleshootRDSIAMAuthenticationAyuda a solucionar problemas de autenticación AWS Identity and Access Management (IAM) para instancias de Amazon RDS for PostgreSQL, Amazon RDS for MySQL, Amazon RDS for MariaDB, Amazon Aurora PostgreSQL y Amazon Aurora MySQL. Utilice este manual para verificar la configuración necesaria para la autenticación de IAM con una instancia de Amazon RDS o un clúster Aurora. También proporciona pasos para corregir los problemas de conectividad con la instancia Amazon RDS o el clúster Aurora.

importante

Este manual no es compatible con Amazon RDS for Oracle ni Amazon RDS for Microsoft SQL Server.

importante

Si se proporciona una instancia Amazon EC2 de origen y la base de datos de destino es Amazon RDS, AWSSupport-TroubleshootConnectivityToRDS se invoca una automatización secundaria para solucionar los problemas de conectividad TCP. El resultado también proporciona comandos que puede ejecutar en su instancia Amazon EC2 o máquina de origen para conectarse a las instancias de Amazon RDS mediante la autenticación de IAM.

¿Cómo funciona?

Este manual consta de seis pasos:

  • Paso 1: ValidateInputs: valida las entradas de la automatización.

  • Paso 2: ramificaciónOnSourceEC2Provided: verifica si se proporciona un ID de instancia Amazon EC2 de origen en los parámetros de entrada.

  • Paso 3: ValidaterDSConnectivity: valida la conectividad de Amazon RDS desde la instancia Amazon EC2 de origen, si se proporciona.

  • Paso 4: ValidatersSiamAuthentication: valida si la función de autenticación de IAM está habilitada.

  • Paso 5: ValidateIAMPolicies: verifica si los permisos de IAM necesarios están presentes en el IAM proporcionado. user/role

  • Paso 6: Generar un informe: genera un informe con los resultados de los pasos ejecutados anteriormente.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) el Nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • Tipo RDS

    Tipo: cadena

    Descripción: (Obligatorio): Seleccione el tipo de base de datos relacional a la que intenta conectarse y autenticarse.

    Valores permitidos: o Amazon RDS Amazon Aurora Cluster.

  • DBInstanceIdentifier

    Tipo: cadena

    Descripción: (obligatorio) El identificador de la instancia de base de datos Amazon RDS o del clúster de base de datos Aurora de destino.

    Valor permitido: ^[A-Za-z0-9]+(-[A-Za-z0-9]+)*$

    Número máximo de caracteres: 63

  • SourceEc2InstanceIdentifier

    Tipo: AWS::EC2::Instance::Id

    Descripción: (opcional) El ID de instancia de Amazon EC2 si se conecta a la instancia de base de datos Amazon RDS desde una instancia de Amazon EC2 que se ejecuta en la misma cuenta y región. No especifique este parámetro si la fuente no es una instancia de Amazon EC2 o si el tipo de Amazon RDS de destino es un clúster de base de datos Aurora.

    Valor predeterminado: ""

  • DBIAMRoleName

    Tipo: cadena

    Descripción: (opcional) El nombre de la función de IAM que se utiliza para la autenticación. IAM-based Indíquelo solo si no DBIAMUserName se proporciona el parámetro; de lo contrario, déjelo vacío. Se debe proporcionar DBIAMRoleName o DBIAMUserName.

    Valor permitido: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Número máximo de caracteres: 64

    Valor predeterminado: ""

  • DBIAMUserName

    Tipo: cadena

    Descripción: (opcional) El nombre de usuario de IAM utilizado para la IAM-based autenticación. Indíquelo solo si no se proporciona el DBIAMRoleName parámetro; de lo contrario, déjelo vacío. Se debe proporcionar DBIAMRoleName o DBIAMUserName.

    Valor permitido: ^[a-zA-Z0-9+=,.@_-]{1,64}$|^$

    Número máximo de caracteres: 64

    Valor predeterminado: ""

  • DBUserName

    Tipo: cadena

    Descripción: (opcional) El nombre de usuario de la base de datos asignado a un IAM role/user para la IAM-based autenticación dentro de la base de datos. La opción predeterminada * evalúa si el rds-db:connect permiso está permitido para todos los usuarios de la base de datos.

    Valor permitido: ^[a-zA-Z0-9+=,.@*_-]{1,64}$

    Número máximo de caracteres: 64

    Valor predeterminado: *

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ec2:DescribeInstances

  • ec2:DescribeNetworkAcls

  • ec2:DescribeRouteTables

  • ec2:DescribeSecurityGroups

  • ec2:DescribeSubnets

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAttachedRolePolicies

  • iam:ListAttachedUserPolicies

  • iam:ListRolePolicies

  • iam:ListUserPolicies

  • iam:SimulatePrincipalPolicy

  • rds:DescribeDBClusters

  • rds:DescribeDBInstances

  • ssm:DescribeAutomationStepExecutions

  • ssm:GetAutomationExecution

  • ssm:StartAutomationExecution

Instrucciones

  1. Navega hasta AWSSupport-TroubleshootRDSIAMAuthenticationla AWS Systems Manager consola.

  2. Elija Ejecutar automatización

  3. Para los parámetros de entrada, introduzca lo siguiente:

    • AutomationAssumeRole(Opcional):

      El nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

    • Tipo RDS (obligatorio):

      Seleccione el tipo de Amazon RDS al que intenta conectarse y autenticarse. Elija uno de los dos valores permitidos: o Amazon RDS Amazon Aurora Cluster.

    • DBInstanceIdentifier(Obligatorio):

      Introduzca el identificador de la instancia de base de datos Amazon RDS de destino o del clúster Aurora al que intenta conectarse y utilice las credenciales de IAM para la autenticación.

    • SourceEc2InstanceIdentifier(Opcional):

      Proporcione el ID de instancia de Amazon EC2 si se conecta a la instancia de base de datos de Amazon RDS desde una instancia de Amazon EC2 presente en la misma cuenta y región. Déjelo en blanco si el origen no es Amazon EC2 o si el tipo de Amazon RDS de destino es un clúster Aurora.

    • DBIAMRoleName(Opcional):

      Introduzca el nombre del rol de IAM utilizado para la IAM-Based autenticación. Indíquelo solo si no DBIAMUserName se proporciona; de lo contrario, déjelo en blanco. Se debe proporcionar DBIAMRoleName o DBIAMUserName.

    • DBIAMUserName(Opcional):

      Introduzca el usuario de IAM utilizado para la IAM-Based autenticación. Introdúzcalo solo si no DBIAMRoleName se proporciona; de lo contrario, déjelo en blanco. Se debe proporcionar DBIAMRoleName o DBIAMUserName.

    • DBUserName(Opcional):

      Introduzca el usuario de la base de datos asignado a un IAM role/user para la IAM-Based autenticación en la base de datos. La opción predeterminada * se utiliza para evaluar; no se proporciona nada en este campo.

    La sección de parámetros de entrada muestra el selector de instancias de EC2, los campos de configuración de RDS y las opciones de autenticación.

  4. Seleccione Ejecutar.

  5. Observe que se inicia la automatización.

  6. Este documento realiza los siguientes pasos:

    • Paso 1: Validar las entradas:

      Valida las entradas de la automatización: SourceEC2InstanceIdentifier (opcional), DBInstanceIdentifier o, y oClusterID. DBIAMRoleName DBIAMUserName Verifica si los parámetros de entrada ingresados están presentes en su cuenta y región. También verifica si el usuario ingresó uno de los parámetros de IAM (por ejemplo, DBIAMRoleName o). DBIAMUserName Además, realiza otras verificaciones, por ejemplo, si la base de datos mencionada está en estado Disponible.

    • Paso 2: sucursalOnSourceEC2Provided:

      Verifica si se proporciona Amazon EC2 de origen en los parámetros de entrada y si la base de datos es Amazon RDS. En caso afirmativo, continúa con el paso 3. De lo contrario, se salta el paso 3, que es la validación de la conectividad de Amazon EC2-Amazon RDS, y pasa al paso 4.

    • Paso 3: Validar la conectividad de RDS:

      Si se proporciona el Amazon EC2 de origen en los parámetros de entrada y la base de datos es Amazon RDS, el paso 2 inicia el paso 3. En este paso, AWSSupport-TroubleshootConnectivityToRDS se invoca la automatización secundaria para validar la conectividad de Amazon RDS desde Amazon EC2 de origen. El manual de automatización secundaria AWSSupport-TroubleshootConnectivityToRDS verifica si las configuraciones de red requeridas (Amazon Virtual Private Cloud [Amazon VPC], grupos de seguridad, lista de control de acceso a la red [NACL], disponibilidad de Amazon RDS) están implementadas para que pueda conectarse desde la instancia de Amazon EC2 a la instancia de Amazon RDS.

    • Paso 4: Validar la autenticación de DSIAMAuthentication:

      Valida si la función de autenticación de IAM está habilitada en la instancia de Amazon RDS o en el clúster Aurora.

    • Paso 5: Validar las políticas de IAM:

      Comprueba si los permisos de IAM necesarios están presentes en el IAM user/role transferido para permitir que las credenciales de IAM se autentiquen en la instancia de Amazon RDS para el usuario de base de datos especificado (si lo hubiera).

    • Paso 6: Generar un informe:

      Obtiene toda la información de los pasos anteriores e imprime el resultado o la salida de cada paso. También se enumeran los pasos a seguir y realizar para conectarse a la instancia de Amazon RDS mediante las credenciales de IAM.

  7. Cuando se complete la automatización, consulte la sección de resultados para ver los resultados detallados:

    • Comprobar el User/Role permiso de IAM para conectarse a la base de datos:

      Comprueba si los permisos de IAM necesarios están presentes en el IAM user/role transferido para permitir que las credenciales de IAM se autentiquen en la instancia de Amazon RDS para el usuario de base de datos especificado (si lo hubiera).

    • Comprobación IAM-Based del atributo de autenticación de la base de datos:

      Comprueba si la función de autenticación de IAM está habilitada para el clúster de Amazon Database/Aurora RDS especificado.

    • Comprobación de la conectividad de una instancia de Amazon EC2 a una instancia de Amazon RDS:

      Verifica si las configuraciones de red requeridas (Amazon VPC, grupos de seguridad, NACL, disponibilidad de Amazon RDS) están implementadas para que pueda conectarse desde la instancia de Amazon EC2 a la instancia de Amazon RDS.

    • Pasos siguientes:

      Muestra los comandos y los pasos que se deben consultar y ejecutar para conectarse a la instancia de Amazon RDS mediante las credenciales de IAM.

    Los resultados de la solución de problemas muestran IAM los permisos verificados, la IAM autenticación habilitada y no se ha proporcionado ninguna instancia EC2 de origen.

Referencias

Automatización de Systems Manager