如何使用 IAM DB 身份验证和 Python 在 MySQL RDS 中进行身份验证答案

【问题标题】：How to authenticate in MySQL RDS using IAM DB Authentication and Python如何使用 IAM DB 身份验证和 Python 在 MySQL RDS 中进行身份验证
【发布时间】：2018-05-13 18:30:21
【问题描述】：

我有一个运行 MySQL 5.6.39 并启用了 IAM DB 身份验证的 AWS RDS 数据库。

首先，我成功完成了Tutorial: Configuring a Lambda Function to Access Amazon RDS in an Amazon VPC，这是我下一步的起点。

我想使用 IAM 凭据登录，因此按照 this 和 this 教程，我做到了：

在创建 RDS MySQL 实例时，我选择了Enabling IAM database authentication。

创建了一个名为lambda的用户：

CREATE USER 'lambda' IDENTIFIED WITH AWSAuthenticationPlugin as 'RDS';
GRANT ALL PRIVILEGES ON test_db.* TO 'lambda'@'%';
FLUSH PRIVILEGES;

创建了一个 IAM 策略，并将其附加到我用作 lambda 函数的执行角色的角色：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds-db:connect"
      ],
      "Resource": [
        "<DB-ARN>/lambda"
      ]
    }
  ]
}

创建了一个 lambda 函数：

import sys
import boto3
import logging
import pymysql

#rds settings
rds_host  = "<RDS-ENDPOINT>"
username = "lambda"
db_name = "test_db"

logger = logging.getLogger()
logger.setLevel(logging.INFO)

client = boto3.client('rds',region_name='eu-west-2')
token = client.generate_db_auth_token(rds_host,3306, name)
ssl = {'ca': 'rds-combined-ca-bundle.pem'} 
logger.info("token: "+ token)

conn = pymysql.connect(rds_host, user=username, passwd=token, db=db_name, connect_timeout=5, ssl=ssl)

logger.info("SUCCESS: Connection to RDS mysql instance succeeded")
def handler(event, context):
  ...

我收到以下错误：

error: (1045, "Access denied for user 'lambda'@'<LAMBDA_IP>' (using password: YES)")

我使用 AWS CLI 从附加了策略的 EC2 实例中尝试查找是否是 python 错误。

获取令牌：

aws rds generate-db-auth-token --hostname <RDS-ENDPOINT> --port 3306 --username lambda

使用我在上一步中获得的令牌连接到数据库：

mysql -h <RDS-ENDPOINT> -u lambda --enable-cleartext-plugin --password='<TOKEN>'

我遇到了同样的错误：

mysql: [Warning] Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user 'lambda'@'<EC2_IP>' (using password: YES)

【问题讨论】：

请注意，当您生成令牌时不会发生身份验证。令牌与预签名 URL 完全一样——它们是在本地生成的，不与任何 API 进行任何交互，并且在您尝试使用它们之前不会实际检查。
你的意思是问题可能在于我如何获得令牌？我最重要的疑问是政策，因为 AWS 管理控制台给了我这个信息IAM does not recognize this service. The service might include a typo or might be a previewed or custom service.
在策略中，您的 ARN 的资源部分（在帐号之后和后面的 :）需要包含文字字符串 dbuser: + db 标识符（以 db- 开头) + / + 用户名。 IAM 控制台不理解这些策略，因此出现警告是正常的。
另外，不，我并不是要暗示您获取令牌的方式存在问题，而是要检查以确保您了解能够获取令牌确实不要以某种方式证明您的配置。任何用户都可以获得令牌，即使是无效或虚构的凭据。无法登录，但仍会生成。
按照你说的改了Resource。它再次失败，但我将等待一段时间以确保更改已传播

标签： python mysql amazon-web-services aws-lambda amazon-rds

【解决方案1】：

政策不正确！

Resource 不是数据库 ARN，而是 "arn:aws:rds-db:<AWS_REGION>:<AWS_ACCOUNT_ID>:dbuser:<AWS_DB_RESOURCE_ID>/<DB_USERNAME>"

要从管理控制台获取此信息，您可以访问：

AWS_REGION - 区域代码，例如 eu-west-2 或来自 here 的任何其他代码。
AWS_ACCOUNT_ID - 从Account Settings 获取。
AWS_DB_RESOURCE_ID - 在数据库页面的Details\Configuration\Resource ID 中找到它，它以db- 开头。
DB_USERNAME - 是 lambda，因为它是在第 2 步中创建的。

顺便说一句，正如Michael - sqlbot 在这里和answer 中指出的那样，令牌的生成是本地的，因此获取它不应被解释为获取正确的密码。

【讨论】：

NBajanca，@Michael - sqlbot - 我遇到了同样的错误，但无法弄清楚出了什么问题。已经花了将近半天的时间，仍然没有到达任何地方。我的 IAM 政策与您提到的完全相同。在上面 AWS CLI 中的第 2 步中，是否要求您输入密码？如果是，您为“lambda”输入了什么密码？无论我输入什么，我都会被要求输入密码，我都会收到错误消息。你怎么没有在mysql 命令中指定“--ssl-ca=”？几分钟前我发布了一个问题：stackoverflow.com/q/50383753/5277048.