我有一个从Lambda函数执行的ECS任务。此任务将在运行MySQL的RDS实例上执行一些基本的SQL操作(例如,SELECT,INSERT,UPDATE)。管理从ECS任务到RDS的访问的正确方法是什么?
我目前使用安全组规则连接到RDS,其中端口3306允许从特定IP地址(EC2实例所在的位置)进行连接。
我正在将此功能从EC2移至ECS任务。我查看了IAM策略,但这些操作似乎是管理AWS CLI RDS操作,可能不是此处的解决方案。谢谢!
答案 0 :(得分:9)
IAM角色和安全组是两个完全不同的东西,用于不同的目的。您必须打开安全组以允许任何网络流量访问RDS服务器。您应该将入站安全组列入白名单,而不是将IP地址列入白名单。
例如,如果RDS服务器位于安全组1中,并且ECS服务器位于安全组2中,则可以在安全组1的入站访问规则中输入安全组2的ID。然后您没有担心服务器更改IP地址。