为什么我在尝试从 lambda 而不是从查询编辑器访问 aurora 无服务器数据库时收到 403?
Why am I getting 403s when trying to access an aurora serverless database from a lambda but not from the query editor?
我已经启动了一个 aurora serverless posgres 兼容数据库,我正在尝试从 lambda 函数连接到它,但是我收到 AccessDenied
个错误:
AccessDeniedException:
Status code: 403, request id: 2b19fa38-af7d-4f4a-aaa5-7d068e92c901
详情:
- 如果我使用与 lambda 尝试使用的相同的 secret-arn 和数据库名称,我可以通过查询编辑器手动连接并查询数据库。我已经三次检查 arns 是否正确
- 我的 lambda 不在 vpc 中,但正在使用数据 api。 RDS集群在默认vpc
- 我暂时授予了我的 lambda 管理员访问权限,这样我就知道这不是 lambda 方面的基于策略的问题
- Cloudwatch 不包含有关该错误的任何其他详细信息
- 我可以从我个人电脑的命令行查询数据库(不是在 vpc 上)
有什么建议吗?也许有办法从错误中获得更好的细节?
我认为您需要将 lambda 放在与无服务器数据库相同的 VPC 中。我做了一个快速测试,并且能够从同一 VPC 中的 EC2 连接到它。
ubuntu@ip-172-31-5-146:~$ telnet database-11.cluster-ckuv4ugsg77i.ap-northeast-1.rds.amazonaws.com 5432
Trying 172.31.14.180...
Connected to vpce-0403cfe830963dfe9-u0hmgbbx.vpce-svc-0445a873575e0c4b1.ap-northeast-1.vpce.amazonaws.com.
Escape character is '^]'.
^CConnection closed by foreign host.
这是我的安全组。
啊哈!在尝试通过命令行连接并成功连接后,我意识到这一定是与网络无关的事情。稍微深入研究我的代码,我最终意识到代码的连接部分没有任何问题,而是使用用户权限创建试图访问数据的 session/service。事后看来,我认为显式 AccessDenied
(而不是超时)应该是一条线索,表明我能够访问数据库,但无法对其执行任何操作。
深入挖掘后,我发现这两个东西非常不同:
- AmazonRDSFullAccess
- AmazonRDSDataFullAccess
如果您想使用数据 api,您必须拥有 AmazonRDSDataFullAccess(或类似)策略。 AmazonRDSFullAccess 不是人们可能认为的 AmazonRDSDataFullAccess 权限的超集。 (如果您查看 AmazonRDSFullAccess 策略的 json,您会注意到权限涵盖 rds:*
,而另一个策略涵盖 rds-data:*
,因此显然这些只是完全不同的权限空间)
TLDR:使用 AmazonRDSDataFullAccess
策略(或类似策略)访问数据 api。 AmazonRDSFullAccess
将不起作用。