如何使用Django进行RDS IAM身份验证?

时间:2019-09-10 07:18:56

标签: django postgresql amazon-web-services amazon-rds amazon-iam

我希望我的Django应用程序使用IAM身份验证连接到RDS postgres。这意味着数据库密码每15分钟失效一次,应重新生成一次。问题是如何在运行时更改数据库密码?还是应该更新数据库URL环境?

1 个答案:

答案 0 :(得分:2)

我们为此功能实现了一个程序包,并将其发布到PyPi。您可以在这里https://github.com/labd/django-iam-dbauth

进行检查

但原则上是以下步骤:

第一个enable IAM Authentication

然后add the policy and attach it指向连接到数据库的角色或用户。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "rds-db:connect"
        ],
        "Resource": [
            "arn:aws:rds-db:us-east-2:1234567890:dbuser:db-ABCDEFGHIJKL01234/db_userx"
        ]
    }
]
}

然后在您的AWS postgres上创建一个用户并为其授予rds_iam角色:

CREATE USER db_userx WITH LOGIN; 
GRANT rds_iam TO db_userx;

对于Django,您需要一个自定义后端以允许即时生成凭据。

创建一个包含your.package.postgresql的软件包,例如base.py 

import boto3
from django.db.backends.postgresql import base

class DatabaseWrapper(base.DatabaseWrapper):
    def get_connection_params(self):
        params = super().get_connection_params()
        rds_client = boto3.client("rds")
        params["password"] = rds_client.generate_db_auth_token(
            DBHostname=params.get("host", "localhost"),
            Port=params.get("port", 5432),
            DBUsername=params.get("user") or getpass.getuser(),
        )

        return params

然后使用如下设置:

DATABASES = {
    "default": {
        "HOST": "<hostname>",
        "USER": "<user>",
        "PORT": 5432,
        "ENGINE": "your.package.postgresql"
    }
}
相关问题
最新问题