要使此功能正常运行,你需要执行以下几项操作:
- 用户名/密码存储在机密中
- Lambda中的安全组规则-> RDS代理
- 来自RDS代理-> RDS的安全组规则
- 同一VPC中的RDS代理,Lambda和RDS
- RDS代理角色可以访问机密
一个有用的调试查询是:
aws rds describe-db-proxy-targets --db-proxy-name <proxy-name>
要了解它返回的错误消息,请参阅此页面。
用户名/密码是最难发现的,因为Terraform尚不支持它。你需要做的是在Terraform中构造一个与RDS代理可以理解的JSON字符串匹配的字符串:
resource "aws_secretsmanager_secret_version" "my_db_proxy" {
secret_id = aws_secretsmanager_secret.my_db_proxy.id
secret_string = jsonencode({
"username" = aws_db_instance.my_db.username
"password" = var.db_password
"engine" = "postgres"
"host" = aws_db_instance.my_db.address
"port" = 5432
"dbInstanceIdentifier" = aws_db_instance.my_db.id
})
}
然后,你需要确保存在以下安全组规则,以允许端口上的TCP流量5432(对于Postgres)存在:
ingressLambda到RDS代理ingressRDS代理到RDSegressRDS代理到"0.0.0.0/0"
RDS代理角色应具有以下策略:
resource "aws_iam_policy" "my_rds_proxy_policy" {
name = "my-rds-proxy"
policy = <<EOF
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Action": [
"rds:*"
],
"Effect": "Allow",
"Resource": [
"${aws_db_instance.my_db.arn}"
]
},
{
"Sid": "GetSecretValue",
"Action": [
"secretsmanager:GetSecretValue"
],
"Effect": "Allow",
"Resource": [
"${aws_secretsmanager_secret.my_rds_proxy.arn}"
]
},
{
"Sid": "DecryptSecretValue",
"Action": [
"kms:Decrypt"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Sid": "DecryptKms",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.${var.aws_region}.amazonaws.com"
}
}
}
]
}
EOF
}
祝你好运!
使用
describe-db-proxy-targets非常有帮助,在某些情况下可以为您提供所需的答案。如问题中所述,我收到“由于内部错误而无法使用DBProxy目标”。很沮丧!就我而言,这是由于安全组设置不正确导致端点无法访问目标而导致的。在测试中,我认为在代理上使用与RDS群集相同的安全组是有意义的,只是我忘记了该组不允许其自身的组进行访问。希望AWS将来可以捕获此错误并改善错误消息传递。