使用会话管理器连接RDS而无需EC2实例

Question

【以下的问题经过翻译处理】 当我阅读文档时，使用会话管理器，可以在没有堡垒机的情况下[从本地到私有ec2的直接端口转发]连接私有子网中的实例。

但是在RDS的情况下，即使我们使用会话管理器进行连接，我们也需要在本地和私有RDS之间有一个EC2实例。

有人能解释一下为什么会这样吗？请分享一些能够解释这一点的文档。

Answer

【以下的回答经过翻译处理】 尽管我们有时会记录什么是不可能的，但我不知道是否有一份文档可以解释为什么不能直接使用SSM连接到RDS。因此，让我采取更通用的答案：

SSM允许对实例进行连接之外的更多的功能和更改！因此，在RDS实例上具有完整的SSM功能将破坏我们用于RDS的共享责任模型（您也可以说：它将违反RDS的“黑盒”原则）。因此，您需要一个中介实例，它将RDS公开的TCP端口转发到您的本地计算机。

进一步阅读：

* “[Amazon RDS中的安全性](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.html)”中对RDS特定的共享责任模型的解释
* 我们对[共享责任模型的总体概述](https://aws.amazon.com/compliance/shared-responsibility-model/)
* EC2实例也可以位于私有子网中，如此处所述：[使用首选的GUI远程安全连接到Amazon RDS或Amazon EC2数据库实例](https://aws.amazon.com/blogs/database/securely-connect-to-an-amazon-rds-or-amazon-ec2-database-instance-remotely-with-your-preferred-gui/)

使用会话管理器连接RDS而无需EC2实例

Relevanter Inhalt