Контекст: Я пытаюсь настроить Postgres RDS в подсети private_isolated VPC. Я хочу использовать pgAdmin для работы с ним, а это значит, что мне нужен либо бастион, либо VPN-подключение. Бастион требует долго работающего экземпляра EC2, а у меня в настоящее время вообще нет запущенного EC2. Я хотел бы настроить VPN-подключение, так как это кажется более уместным. У нас нет поставщика AD или SAML — у нас есть пользователи IAM и SSO для запуска сеанса AWS. ОБНОВЛЕНИЕ: Я понял, что IAM можно использовать на уровне RDS, чтобы разрешить вход в сеанс.https://aws.amazon.com/premiumsupport/knowledge-center/users-connect-rds-iam/Так что это охватывает, по крайней мере, одну связанную проблему.
Клиентский VPN, похоже, обычно настраивается с помощью AD или поставщика SAML, или вручную с взаимной аутентификацией с использованием вручную созданных сертификатов. Первые варианты кажутся излишними — мы маленькая компания и нам не нужен AD или отдельный поставщик SAML. В то время как ручные сертификаты, с другой стороны, кажутся подверженными человеческим ошибкам, поскольку требуется много усилий для настройки CA или для того, чтобы каждый пользователь загружал клиентский сертификат.
Я нуб в системном администрировании. Есть ли причина, по которой я не могу использовать IAM SSO для создания секрета, который позволяет мне получить доступ к VPN на час, как я это делаю для входа в консоль управления или с помощью CLI? Это возможно с опцией SAML? Я задаю неправильные вопросы?
Спасибо!
решение1
Учитывая, что вы хотите разместить свою базу данных в частной подсети, единственный способ подключения — через VPN или DirectConnect (дорого) или через экземпляр EC2 с доступом к базе данных (бастион) (см. документацию).https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.Scenarios.html#USER_VPC.Scenario3).
Самый экономически эффективный способ — использовать экземпляр EC2. Вместо того, чтобы использовать SSH и усложнять ключи, вы можете настроить агент SSM в своем экземпляре и разрешить пользователям доступ через консоль. Вот документы:https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent.html
решение2
Пока что я пришел к выводу, что "вы не можете" - это короткий ответ. Вероятно, есть какой-то обходной путь в скрипте bash, чтобы использовать пользователей IAM для доступа к некоторому сертификату, который затем используется для подключения к VPN.
Вместо этого альтернативы, такие как упомянутые @palvarez, могут оказаться лучшим решением для человека с похожей проблемой.