使用IAM设置RDS(MySQL)数据库访问以生成访问令牌

mysql-client 和一个用户(名为 aws_iam awscli 角色附加到我的EC2实例。

说明书 are here

所以我得到的是:

• 一个EC2实例,其角色允许我生成RDS凭据
• 其标识为 AWSAuthenticationPlugin
• 当通过SSH登录到EC2实例时,我可以运行 mysql -h mydb.randomstring.region.rds.amazonaws.com -u root -p
• 此外,当通过SSH登录到EC2实例时,我可以运行 aws rds generate-db-auth-token --hostname mydb.randomstring.region.rds.amazonaws.com --port 3306 --username aws_iam 当运行这个时,我得到一个令牌,看起来像这样:

mydb.randomstring.region.rds.amazon.aws.com:port-number/?Action=connect&DBUser=aws_iam&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Expires=900&X-Amz-Date=current_time&X-Amz-SignedHeaders=host&X-Amz-Security-Token=really-long-url-encoded-string&X-Amz-Credential=string/region/rds-db/aws4_request&X-Amz-Signature=long-hash

mysql -h mydb.randomstring.region.rds.amazonaws.com --ssl-ca=rds-ca-2015-eu-west-1.pem --ssl-mode=VERIFY_IDENTITY -u aws_iam --enable-cleartext-plugin --password=TOKEN

但我只是

ERROR 1045 (28000): Access denied for user 'aws_iam'@IP (using password: YES)

我注意到了几件事:

• “令牌”最初是url编码的;然而,解码也不起作用
• 令牌具有url格式的许多参数;这些参数中可能只有一个是实际令牌,但文档中没有提及
• 如果您的EC2角色没有“rds db”的策略,您仍然可以生成令牌。这可能意味着令牌生成无法证明您的策略有效;但除此之外,没有其他方法可以调试它

有人启用了这个功能吗?我有没有错过什么?