Conectando-se ao seu cluster de banco de dados usando a autenticação do IAM na linha de comando: AWS CLI e cliente mysql - Amazon Aurora

Conectando-se ao seu cluster de banco de dados usando a autenticação do IAM na linha de comando: AWS CLI e cliente mysql

Você pode se conectar de uma linha de comando a um cluster de bancos de dados Aurora com a AWS CLI e a ferramenta da linha de comando mysql, conforme descrito a seguir.

Pré-requisitos

Veja a seguir os pré-requisitos para se conectar ao cluster de banco de dados usando a autenticação do IAM:

nota

Para obter informações sobre como se conectar ao banco de dados usando o SQL Workbench/J com autenticação do IAM, consulte a publicação do blog Use IAM authentication to connect with SQL Workbench/J to Aurora MySQL or Amazon RDS para MySQL.

Gerar um token de autenticação do IAM

O exemplo a seguir mostra como obter um token de autenticação assinado usando a AWS CLI.

aws rds generate-db-auth-token \ --hostname rdsmysql.123456789012.us-west-2.rds.amazonaws.com \ --port 3306 \ --region us-west-2 \ --username jane_doe

No exemplo, os parâmetros são os seguintes:

  • --hostname: o nome do host do cluster de banco de dados que você deseja acessar

  • --port: o número da porta usada para se conectar ao cluster de banco de dados

  • --region: a região da AWS na qual o cluster do banco de dados está em execução.

  • --username: a conta de banco de dados que você deseja acessar

Os primeiros caracteres do token são parecidos com os seguintes.

rdsmysql.123456789012.us-west-2.rds.amazonaws.com:3306/?Action=connect&DBUser=jane_doe&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Expires=900...
nota

Não é possível usar um registro DNS personalizado do Route 53 ou um endpoint personalizado do Aurora em vez do endpoint do cluster da  de banco de dados para gerar o token de autenticação.

Conexão ao cluster de banco de dados

O formato geral para se conectar é mostrado a seguir.

mysql --host=hostName --port=portNumber --ssl-ca=full_path_to_ssl_certificate --enable-cleartext-plugin --user=userName --password=authToken

Os parâmetros são os seguintes:

  • --host: o nome do host do cluster de banco de dados que você deseja acessar

  • --port: o número da porta usada para se conectar ao cluster de banco de dados

  • --ssl-ca: o caminho completo para o arquivo de certificado SSL que contém a chave pública

    Para ter mais informações, consulte Conexões do TLS com clusters de banco de dados do Aurora MySQL.

    Para baixar um certificado SSL, consulte Usar SSL/TLS para criptografar uma conexão com um cluster de banco de dados.

  • --enable-cleartext-plugin: um valor que especifica que o AWSAuthenticationPlugin deve ser usado para essa conexão

    Se você estiver usando um cliente MariaDB, a opção--enable-cleartext-plugin não será necessária.

  • --user: a conta de banco de dados que você deseja acessar

  • --password: um token de autenticação do IAM assinado

Um token de autenticação é composto de várias centenas de caracteres. Ele pode ser incômodo para a linha de comando. Um modo de contornar isso é salvar o token em uma variável de ambiente, e usar essa variável quando você se conectar. O exemplo a seguir mostra um modo de executar essa solução alternativa. No exemplo, /sample_dir/ corresponde ao caminho completo do arquivo de certificado SSL contendo a chave pública.

RDSHOST="mysqlcluster.cluster-123456789012.us-east-1.rds.amazonaws.com" TOKEN="$(aws rds generate-db-auth-token --hostname $RDSHOST --port 3306 --region us-west-2 --username jane_doe )" mysql --host=$RDSHOST --port=3306 --ssl-ca=/sample_dir/global-bundle.pem --enable-cleartext-plugin --user=jane_doe --password=$TOKEN

Quando você se conecta usando o AWSAuthenticationPlugin, a conexão é protegida usando SSL. Para verificar isso, digite o seguinte no prompt de comando mysql>.

show status like 'Ssl%';

As seguintes linhas na saída mostram mais detalhes.

+---------------+-------------+ | Variable_name | Value | +---------------+-------------+ | ... | ... | Ssl_cipher | AES256-SHA | | ... | ... | Ssl_version | TLSv1.1 | | ... | ... +-----------------------------+

Se você quiser se conectar a um cluster de banco de dados por meio de um proxy, consulte Conectar-se a um proxy usando autenticação do IAM.