Fargate のタスク ロールを通じて、AWS サービス RDS と Elasticache Redis にアクセスしようとしました。
タスクロールにサービスのフルアクセスを付与したのですが、接続できなかったので、セキュリティグループ設定でサブネットを許可したところ、接続が可能になりました。
本来のロールとセキュリティグループを設定した後にのみアクセスすることは可能ですか?
それとも役割を適切に設定しなかったのでしょうか?
答え1
タスクロールの権限により、AWS API へのアクセスが付与され、タスクは新しい RDS サーバーまたは ElastiCache サーバーの作成などの操作を実行できるようになります。これらの IAM 権限では、RDS サーバーまたは ElastiCache サーバーに接続するためのアクセス権は付与されません。また、これらの権限を追加しても、ネットワーク レベルでデータベース サーバーのファイアウォールのポートが開かれることはありません。
RDS サーバーに接続するには、そのデータベース サーバーのネットワーク ポートでデータベース ドライバー (PostgreSQL、MySQL、選択した RDBMS) とのネットワーク接続を確立する必要があります。同様に、ElastiCache サーバーに接続するには、Redis クライアントを使用して、Redis がリッスンしているポートに接続を確立する必要があります。データベースへの接続を確立する際には、タスク IAM ロールはまったく使用されません。AWS API で何も実行されず、直接データベース ネットワーク接続が確立されるためです。