Criando uma conta somente leitura para o AWS RDS PostgreSQL

Navegue suas respostas
1

Eu gostaria de criar uma conta somente leitura para todas as instâncias do RDS no AWS (PostGreSQL). Comecei criando um grupo IAM e anexando a política AmazonRDSReadOnlyAccess. Eu criei um novo usuário do IAM e coloquei ele nesse grupo. Não consigo me conectar ao nosso banco de dados com este novo usuário somente de leitura (testado com sucesso com nossa conta de administrador). Agora percebo que não tenho um usuário somente de leitura no próprio banco de dados. O que me faz três perguntas:

  1. Existe algum sentido em criar um usuário IAM somente leitura para nosso RDS instâncias quando posso criar um usuário de banco de dados somente leitura dentro do banco de dados?
  2. Quando eu acesso o banco de dados via linha de comando, ex. psql --host = nome_do_servidor --port = número_da_porta --username = nome_do_usuário --password --dbname = databasename. Este é o nome do usuário do banco de dados, como entendi, então existe um ponto na criação de uma leitura separada do RDS IAM único usuário?
  3. Se eu tiver um usuário IAM somente leitura para RDS, existe algum perigo de ainda haver acesso de gravação se alguém criar uma gravação de banco de dados? conta para eles?
por Richard Oswald 09.09.2016 / 23:56

1 resposta

5

Os usuários do IAM e os usuários do DB são 100% separados. Um nunca afeta o outro e cada um serve diferentes propósitos.

Usuários do IAM

Esses usuários leem / alteram / excluem os servidores usando as APIs da AWS. Eles não podem acessar ou fazer nada com o banco de dados através do aplicativo psql .

Os usuários do IAM podem fazer o seguinte:

  • Criar instâncias do RDS
  • Ler informações da instância do RDS
  • Excluir instâncias do RDS
  • Criar e restaurar instantâneos
  • Modificar opções e parâmetros do RDS

Todos os itens acima são feitos usando os SDKs e o CLI da AWS.

Usuários do BD

Esses usuários leem / alteram / excluem dados no banco de dados. Eles não podem gerenciar ou fazer nada com a instância do RDS.

Os usuários do banco de dados podem fazer o seguinte:

  • Selecionar dados
  • Inserir dados
  • Atualizar dados
  • Excluir dados
  • Criar bancos de dados
  • Gerenciado outros usuários de banco de dados

Todos os itens acima são feitos usando psql , por exemplo.

    
por 10.09.2016 / 00:04

Tags

Vamos criptografar o certificado renovado, mas o site entrega o antigo Existe uma maneira de registrar todo o texto exibido bash (entrada e saída)?