Contexto: estoy intentando configurar Postgres RDS en una subred privada aislada de una VPC. Quiero usar pgAdmin para trabajar en ello, lo que significa que necesito un bastión o una conexión VPN. Un bastión requiere una instancia EC2 de larga duración y actualmente no tengo ningún EC2 ejecutándose. Me gustaría configurar la conexión VPN ya que parece más pertinente. Sin embargo, no tenemos AD ni un proveedor SAML: tenemos usuarios de IAM y SSO para iniciar una sesión de AWS. ACTUALIZACIÓN: Me di cuenta de que IAM se puede utilizar en el nivel RDS para permitir inicios de sesión.https://aws.amazon.com/premiumsupport/knowledge-center/users-connect-rds-iam/Eso cubre al menos un tema relacionado.
La VPN del cliente parece configurarse normalmente mediante AD o un proveedor SAML, o manualmente con autenticación mutua mediante certificados creados manualmente. Las primeras opciones parecen excesivas: somos una empresa pequeña y no necesitamos AD ni un proveedor SAML independiente. Mientras que los certificados manuales, por otro lado, parecen propensos a errores humanos, ya que se requiere mucho para configurar la CA o hacer que cada usuario cargue un certificado de cliente.
Soy un n00b en cosas de administrador de sistemas. ¿Hay alguna razón por la que no puedo usar IAM SSO para crear un secreto que me permita acceso VPN durante una hora, exactamente como lo hago para iniciar sesión en la Consola de administración o usar la CLI? ¿Es esto factible con la opción SAML? ¿Estoy haciendo las preguntas equivocadas?
¡Gracias!
Respuesta1
Teniendo en cuenta que desea que su base de datos esté en una subred privada, la única forma de conectarse es a través de VPN o DirectConnect (caro), o mediante una instancia EC2 con acceso a la base de datos (bastión) (Ver documentoshttps://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.Scenarios.html#USER_VPC.Scenario3).
La forma más rentable es utilizar una instancia EC2. En lugar de usar SSH y complicarse con las claves, puede configurar el agente SSM en su instancia y permitir que sus usuarios accedan a través de la consola. Aquí están los documentos:https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html
Respuesta2
Hasta ahora he llegado a la conclusión de que "no puedes" es la respuesta corta. Probablemente haya alguna forma indirecta en un script bash de utilizar a los usuarios de IAM para acceder a algún certificado que luego se utiliza para conectarse a la VPN.
En cambio, alternativas como las que mencionó @palvarez pueden ser la mejor solución para alguien con un problema similar.