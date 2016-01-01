Аутентификация БД через AWS IAM (RDS/Aurora)

В этой статье показано, как клиенты ClickPipes могут использовать ролевой доступ для аутентификации в Amazon Aurora и RDS и безопасного доступа к своим базам данных.

Примечание Для AWS RDS Postgres и Aurora Postgres вы можете запускать только ClickPipes с типом Initial Load Only из‑за ограничений механизма AWS IAM DB Authentication. Для MySQL и MariaDB это ограничение не действует, и вы можете запускать как ClickPipes с типом Initial Load Only , так и CDC .

1 - Войдите в свою учетную запись ClickHouse Cloud.

2 - Выберите сервис ClickHouse, для которого вы хотите создать интеграцию.

3 - Перейдите на вкладку Settings.

4 - Прокрутите вниз до раздела Network security information в нижней части страницы.

5 - Скопируйте значение Service role ID (IAM), принадлежащее сервису, как показано ниже.

Назовём это значение {ClickHouse_IAM_ARN} . Это роль IAM, которая будет использоваться для доступа к вашему экземпляру RDS/Aurora.

Войдите в свой аккаунт AWS и перейдите к экземпляру RDS, который нужно настроить. Нажмите кнопку Modify. Прокрутите страницу вниз до раздела Database authentication. Включите параметр Password and IAM database authentication. Нажмите кнопку Continue. Просмотрите изменения и выберите параметр Apply immediately.

Войдите в свою учетную запись AWS и перейдите к экземпляру RDS или кластеру Aurora, который вы хотите настроить. Перейдите на вкладку Configuration. Обратите внимание на значение Resource ID. Для RDS оно должно иметь вид db-xxxxxxxxxxxxxx , а для кластера Aurora — cluster-xxxxxxxxxxxxxx . Будем называть это значение {RDS_RESOURCE_ID} . Это идентификатор ресурса, который будет использоваться в политике IAM для разрешения доступа к экземпляру RDS.

Подключитесь к экземпляру RDS/Aurora и создайте пользователя базы данных с помощью следующей команды: CREATE USER clickpipes_iam_user; GRANT rds_iam TO clickpipes_iam_user; Следуйте остальным шагам из руководства по настройке источника PostgreSQL, чтобы настроить экземпляр RDS для ClickPipes.

Подключитесь к экземпляру RDS/Aurora и создайте нового пользователя базы данных с помощью следующей команды: CREATE USER 'clickpipes_iam_user' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS'; Следуйте оставшимся шагам из руководства по настройке источника MySQL, чтобы настроить экземпляр RDS/Aurora для ClickPipes.

1 - Войдите в свою учетную запись AWS в веб-браузере под пользователем IAM, у которого есть права на создание и управление ролями IAM.

2 - Перейдите в консоль службы IAM.

3 - Создайте новую роль IAM со следующими политикой IAM и политикой доверия (Trust policy).

Политика доверия (замените {ClickHouse_IAM_ARN} на ARN роли IAM, принадлежащей вашему экземпляру ClickHouse):

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "{ClickHouse_IAM_ARN}" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } ] }

Политика IAM (замените {RDS_RESOURCE_ID} на идентификатор ресурса вашего экземпляра RDS). Убедитесь, что вы также заменили {RDS_REGION} на регион вашего экземпляра RDS/Aurora и {AWS_ACCOUNT} на идентификатор вашей учетной записи AWS:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds-db:connect" ], "Resource": [ "arn:aws:rds-db:{RDS_REGION}:{AWS_ACCOUNT}:dbuser:{RDS_RESOURCE_ID}/clickpipes_iam_user" ] } ] }

4 - Скопируйте новый IAM Role Arn после создания. Он необходим для безопасного доступа к вашей базе данных AWS из ClickPipes. Давайте назовём его {RDS_ACCESS_IAM_ROLE_ARN} .

Теперь вы можете использовать эту роль IAM для аутентификации при подключении к вашему экземпляру RDS/Aurora из ClickPipes.