打工e族

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 56|回复: 0

向我们的机密添加自动轮换并触发

[复制链接]

1

主题

1

帖子

5

积分

初入职场

Rank: 1

积分
5
发表于 2023-11-26 14:02:47 | 显示全部楼层 |阅读模式
生成临时数据库凭据。权限是通过 AWS Identity and Access Management (IAM) 权限策略授予的。默认情况下,这些凭据会在 15 分钟后过期,但您可以将它们配置为在创建后一小时内过期。 本文将讨论 #3:使用 IAM 凭证生成过期数据库凭证。Amazon Redshift为 AWS 命令​​行界面 (AWS CLI)提供GetClusterCredentials API 操作和get-cluster-credentials命令。两者都提供了以编程方式生成临时数据库用户凭据的能力。还可以使用 Amazon Redshift JDBC 或 ODBC 驱动程序配置 SQL 客户端,这些驱动程序管理调用 GetClusterCredentials 操作的过程;这将检索在 SQL 客户端和 Amazon Redshift 数据库之间建立连接的数据库用户凭证。

查看用于创建数据库用户凭据的 JDBC 和 ODBC 选项以获取更多信息。 Integrate.io 如何使用 IAM 生成临时密码 老方法:手动 处理凭证过去是一个手动过程,这是一个令人头疼的问题。我们已经 电子邮件营销列表 在使用 AWS Secrets Manager。向我们的机密添加自动轮换并触发 ALTER <user> 查询以使用新凭据更新它们可能是一个非常简单的练习。这就是我最初的做法。但我的一位新同事指出了使用 IAM 的选项。Redshift 允许您获取与 Redshift 本身内的角色关联的时间范围的 IAM 凭证。 新方法:使用 IAM 生成过期密码 这变成了一项更大的事业。首先,我必须了解我们如何在平台上使用 Redshift。有了对更改如何运作的合理想法后,我更改了 Redshift 连接逻辑以在连接之前提取凭据。



事实证明这是一个非常简单的改变。我们是一家 Python 商店,Boto3(适用于 Python 的 AWS 开发工具包)非常详尽。Boto 使 Python 开发人员能够创建、配置和管理 AWS 服务。 我们将更改部署到我们的一个测试环境中。一切都很顺利,直到我们达到了 Redshift API 的速率限制。我们向 GetClusterCredentials 发出了太多请求 。 我们有很多正在进行的转换,它们都连接到 Redshift。沿着连接进行这些调用耗尽了速率限制。但这并非不可克服。向我们的连接逻辑添加缓存机制非常容易,这样我们就不需要每次都生成新的凭据。 一旦我们部署了缓存机制,我们就可以禁用登录。现在只能通过 IAM 凭证访问集群。 但这给我们带来了一个尴尬的境地。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|打工e族 ( 鲁ICP备2021044221号 )

GMT+8, 2024-11-27 12:57 , Processed in 0.048573 second(s), 19 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表