【问题标题】:Difference between AWS IAM and secrets managerAWS IAM 和 Secrets Manager 之间的区别
【发布时间】:2022-01-06 21:26:35
【问题描述】:
在 AWS 上,应用程序可以通过附加允许访问的 IAM 角色来访问数据库。
或者应用程序可以通过从秘密管理器获取密码来访问数据库。
在哪些用例中会使用 IAM 或秘密管理器来连接他们的数据库和应用程序?
【问题讨论】:
-
您可能在这里谈论的是非 AWS 数据库,例如MySQL 和 PostgreSQL。请注意RDS Proxy,它允许您强制执行 IAM 身份验证,以及它在连接管理方面的许多好处。
标签:
database
amazon-web-services
amazon-iam
aws-secrets-manager
【解决方案1】:
Secrets Manager 只是存储您的数据库密码。您将从 Secrets Manager 读取密码,然后使用用户名/密码连接到数据库。您将密码存储在 Secrets Manager 中的事实有点无关紧要。您的问题实际上应该这样表述:
对 RDS 数据库使用 AWS IAM 身份验证而不是默认的用户名/密码身份验证有哪些优势。
在回答这个问题时,主要好处是您可以使用附加到 EC2/ECS/EKS/Lambda 的 IAM 角色来提供数据库身份验证凭证,而不必以某种方式使用数据库密码单独配置这些资源。
如果您使用 IAM 身份验证,您也不必担心定期轮换数据库密码。
【解决方案2】:
据我所知,IAM 用于跨云应用程序访问。除非您希望创建一个可以访问 DB 的用户角色,然后假设该用户角色连接到 DB。如果您的应用程序在云中运行,就会出现这种情况。
对于像 Dynamodb 这样的云原生数据库来说,情况也是如此。
对于 RDS 数据库,我们通常使用密码。