如何解决为什么在尝试从 lambda 而不是从查询编辑器访问 aurora 无服务器数据库时会收到 403?
我已经启动了一个与 aurora 无服务器 posgres 兼容的数据库,我正在尝试从 lambda 函数连接到它,但出现 AccessDenied 错误:
访问拒绝异常:
状态码:403,请求id:2b19fa38-af7d-4f4a-aaa5-7d068e92c901
详情:
- 如果我使用与 lambda 尝试使用的相同的 secret-arn 和数据库名称,我可以通过查询编辑器手动连接和查询数据库。我已经三重检查了 arn 是否正确
- 我的 lambda 不在 vpc 中,而是使用数据 API。 RDS 集群在默认的 vpc 中
- 我已暂时授予我的 lambdas 管理员访问权限,以便我知道这不是 lambda 方面的基于策略的问题
- Cloudwatch 不包含有关错误的任何其他详细信息
- 我可以从个人计算机的命令行(不在 vpc 上)查询数据库
有什么建议吗?也许有办法从错误中获得更好的细节?
解决方法
啊哈!在尝试通过命令行连接并成功连接后,我意识到这必须与网络无关。深入研究我的代码,我最终意识到代码的连接部分没有任何问题,而是用于创建尝试访问数据的会话/服务的用户权限。事后看来,我认为显式 AccessDenied(而不是超时)应该是我能够访问数据库的线索,只是无法对其进行任何操作。
深入研究后,我发现这两件事非常不同:
- AmazonRDSFullAccess
- AmazonRDSDataFullAccess
如果您想使用数据 API,您必须拥有 AmazonRDSDataFullAccess(或类似)策略。 AmazonRDSFullAccess 不是人们想象的 AmazonRDSDataFullAccess 权限的超集。 (如果您查看 AmazonRDSFullAccess 策略的 json,您会注意到权限涵盖 rds:* 而其他策略涵盖 rds-data:*,因此显然这些只是完全不同的权限空间)
TLDR:使用 AmazonRDSDataFullAccess 政策(或类似政策)访问数据 API。 AmazonRDSFullAccess 不起作用。
我认为您需要将 lambda 放在与无服务器数据库相同的 VPC 中。我做了一个快速测试,并能够从同一 VPC 中的 EC2 连接到它。
ubuntu@ip-172-31-5-146:~$ telnet database-11.cluster-ckuv4ugsg77i.ap-northeast-1.rds.amazonaws.com 5432
Trying 172.31.14.180...
Connected to vpce-0403cfe830963dfe9-u0hmgbbx.vpce-svc-0445a873575e0c4b1.ap-northeast-1.vpce.amazonaws.com.
Escape character is '^]'.
^CConnection closed by foreign host.
这是我的安全组。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
