Политика AWS для чтения/записи RDS

Question

Политика AWS для чтения/записи RDS

В моем сценарии мне нужна политика, которая позволит читать и писатьabc-database-backups/rds/postgresql-backupна С3? Мы хотим, чтобы на мои серверы был добавлен этот доступ.

Лучше всего создать роль и прикрепить ее к серверам или добавить ключ на сервер?

Я попробовал это:

      aws iam create-policy \
     --policy-name rds-s3-integration-policy \
     --policy-document '{
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "s3:ListAllMyBuckets",
                    "Resource": "*"
                },
                {
                    "Effect": "Allow",
                    "Action": [
                        "s3:ListBucket",
                        "s3:GetBucketACL",
                        "s3:GetBucketLocation"
                    ],
                    "Resource": "arn:aws:s3:::bucket_name"
                },
                {
                    "Effect": "Allow",
                    "Action": [
                        "s3:GetObject",
                        "s3:PutObject",
                        "s3:ListMultipartUploadParts",
                        "s3:AbortMultipartUpload"
                    ],
                    "Resource": "arn:aws:s3:::bucket_name/key_prefix/*"
                }
            ]
        }'

Буду очень благодарен за любую помощь, так как мой опыт в этой области несколько ограничен.

0

amazon-web-services amazon-s3 amazon-rds amazon-iam devops

Источник

samtech 13 апр '22 в 16:48

1 ответ

Другие вопросы по тегам amazon-web-services amazon-s3 amazon-rds amazon-iam devops

Tim 13 апр '22 в 19:57 2022-04-13 19:57 · Answer 1 · 2022-04-13 19:57

Используйте роль, связанную со службой, для RDS, чтобы предоставить доступ к S3 и любым другим именованным ресурсам, которые вам нужны. Убедитесь, что экземпляр RDS имеет эту роль. Вам также следует прочитать этот документ об импорте данных S3 в RDS PostgreSQL с использованием расширения.

Я адаптировал некоторую инфраструктуру CloudFormation в виде кода, который должен настроить роль. Вам потребуется изменить разрешения и имя корзины в соответствии со своими требованиями. Он должен работать как есть, но мне пришлось переделать существующий код, поэтому, если он не работает на 100%, отредактируйте сообщение или комментарий, чтобы я мог его отредактировать.

      AWSTemplateFormatVersion: '2010-09-09'
Description: Role for RDS

Resources:    
    RdsS3IntegrationRole:
        Type: AWS::IAM::Role
        Properties:
            RoleName: RdsS3IntegrationRole
            AssumeRolePolicyDocument:
                Version: 2012-10-17
                Statement:
                    -
                        Effect: Allow
                        Principal:
                            Service:
                                - rds.amazonaws.com
                        Action:
                            - sts:AssumeRole
                
    RDSS3IntegrationPolicy:
        Type: AWS::IAM::Policy
        Properties:
            Roles:
                - !Ref 'RdsS3IntegrationRole'
            PolicyName: RDSS3IntegrationPolicy
            PolicyDocument:
                Statement:
                    - Effect: Allow
                        Action:
                            - s3:GetObject
                            - s3:ListBucket 
                            - s3:PutObject 
                        Resource:
                            - !Sub 'arn:aws:s3:::bucketname/*'
                            - !Sub 'arn:aws:s3:::bucketname'
                    - Effect: Allow
                        Action:
                            - kms:Decrypt
                            - kms:Encrypt
                            - kms:GenerateDataKey
                            - kms:ReEncryptTo
                            - kms:DescribeKey
                            - kms:ReEncryptFrom
                        Resource:
                            - !Sub 'arn:aws:kms:ap-southeast-2:${AWS::AccountId}:key/*'