我希望我的Django应用程序使用IAM身份验证连接到RDS postgres。这意味着数据库密码每15分钟失效一次,应重新生成一次。问题是如何在运行时更改数据库密码?还是应该更新数据库URL环境?
答案 0 :(得分:2)
我们为此功能实现了一个程序包,并将其发布到PyPi。您可以在这里https://github.com/labd/django-iam-dbauth
进行检查但原则上是以下步骤:
然后add the policy and attach it指向连接到数据库的角色或用户。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds-db:connect"
],
"Resource": [
"arn:aws:rds-db:us-east-2:1234567890:dbuser:db-ABCDEFGHIJKL01234/db_userx"
]
}
]
}
然后在您的AWS postgres上创建一个用户并为其授予rds_iam
角色:
CREATE USER db_userx WITH LOGIN;
GRANT rds_iam TO db_userx;
对于Django,您需要一个自定义后端以允许即时生成凭据。
创建一个包含your.package.postgresql
的软件包,例如base.py
import boto3
from django.db.backends.postgresql import base
class DatabaseWrapper(base.DatabaseWrapper):
def get_connection_params(self):
params = super().get_connection_params()
rds_client = boto3.client("rds")
params["password"] = rds_client.generate_db_auth_token(
DBHostname=params.get("host", "localhost"),
Port=params.get("port", 5432),
DBUsername=params.get("user") or getpass.getuser(),
)
return params
然后使用如下设置:
DATABASES = {
"default": {
"HOST": "<hostname>",
"USER": "<user>",
"PORT": 5432,
"ENGINE": "your.package.postgresql"
}
}