6

我正在尝试正确设置我的基础设施,没有密码或密钥。AWS RDS 可以选择这样做,让用户(应用程序)使用生成的令牌进行身份验证。

但是,在文档中,其中一个步骤(这个)需要在 Postgres 数据库中运行查询以创建用户并授予他特定权限:

CREATE USER test_rds WITH LOGIN;
GRANT rds_iam TO test_rds;

我想用 Terraform 配置整个堆栈。我已经查找了一些“hacks”以在 RDS 实例化之后运行查询(此处),方法是:

resource "null_resource" "db_setup" {
  depends_on = ["aws_db_instance.your_database_instance",   "aws_security_group.sg_allowing_external_access"]

    provisioner "local-exec" {
 // run shell commands to manually psql into the db

或者:

resource "aws_instance" "web" {


  provisioner "remote-exec" {
    inline = [
   // run shell commands to manually psql into the db

但是它们都需要创建主密码并以某种方式将其传递到“脚本”中。

是否有可能用 Terraform 干净地做到这一点,没有硬编码的密码被传递?

我很想配置数据库并仅启用具有正确访问权限的特定 EC2/ECS 实例,而我的 git 存储库中没有任何密码。

4

2 回答 2

7

为 RDS 数据库启用 IAM 身份验证后,您将无法再对该用户/角色使用基于密码的身份验证。

这意味着您可以使用不太安全的密码,甚至只生成一个随机密码(使用random_id资源),用于设置主密码并首先用于身份验证,以便您可以将rds_iam权限授予主用户和任何其他用户你创造。

虽然此密码最终会出现在状态文件中(即使是随机生成的),但如前所述,一旦rds_iam应用授权,您将无法使用此密码登录数据库。

于 2019-04-24T16:19:24.173 回答
0

要为 IAM 身份验证准备 RDS 数据库用户,可以添加以下 terraform 配置:

resource "postgresql_role" "db_user" {
  name  = "db_userx"
  login = true
  roles = ["rds_iam"]
}

上面的代码使用了cyrilgdn/postgresql提供程序。如果您使用 aws_db_instance 属性为其连接参数配置提供程序,如下所示,则强制执行正确的依赖关系顺序。

provider "postgresql" {
  host            = aws_db_instance.web.address
  port            = aws_db_instance.web.port
  database        = "postgres"
  username        = aws_db_instance.web.username
  password        = aws_db_instance.web.password
  sslmode         = "require"
  connect_timeout = 15
  superuser       = false # postgres user is not a true superuser in RDS
}

RDS 用户指南现在包括以下内容:

对于 PostgreSQL,如果将 IAM 角色 (rds_iam) 添加到主用户,则 IAM 身份验证优先于密码身份验证,因此主用户必须以 IAM 用户身份登录

于 2021-12-09T20:53:38.277 回答