Ich habe versucht, über die Task-Rolle von Fargate auf die AWS-Dienste RDS und Elasticache Redis zuzugreifen.
Ich habe den Vollzugriff des Dienstes mit der Aufgabenrolle verbunden, aber die Verbindung wurde nicht hergestellt. Daher habe ich das Subnetz mit der Sicherheitsgruppeneinstellung zugelassen und die Verbindung war möglich.
Ist der Zugriff nur nach Festlegen der ursprünglichen Rolle und Sicherheitsgruppe möglich?
Oder habe ich die Rolle nicht richtig eingestellt?
Antwort1
Die Berechtigungen in der Task-Rolle ermöglichen den Zugriff auf die AWS-API, wodurch Ihre Task beispielsweise neue RDS- oder ElastiCache-Server erstellen kann. Diese IAM-Berechtigungen ermöglichen keine Verbindung zu RDS- oder ElastiCache-Servern und das Hinzufügen dieser Berechtigungen bewirkt auf Netzwerkebene sicherlich nichts, um Ports in den Firewalls Ihres Datenbankservers zu öffnen.
Um eine Verbindung zu Ihrem RDS-Server herzustellen, müssen Sie eine Netzwerkverbindung mit einem Datenbanktreiber (PostgreSQL, MySQL, welches RDBMS Sie auch immer ausgewählt haben) auf dem Netzwerkport dieses Datenbankservers herstellen. Ebenso müssen Sie zum Herstellen einer Verbindung zu Ihrem ElastiCache-Server einen Redis-Client verwenden, um eine Verbindung auf dem Port herzustellen, auf dem Redis lauscht. Beim Herstellen dieser Verbindungen zu Ihren Datenbanken wird die Task-IAM-Rolle überhaupt nicht verwendet, da sie nichts mit der AWS-API tun, sondern direkte Datenbank-Netzwerkverbindungen herstellen.