使用会话管理器连接RDS而无需EC2实例
0
【以下的问题经过翻译处理】 当我阅读文档时,使用会话管理器,可以在没有堡垒机的情况下[从本地到私有ec2的直接端口转发]连接私有子网中的实例。
但是在RDS的情况下,即使我们使用会话管理器进行连接,我们也需要在本地和私有RDS之间有一个EC2实例。
有人能解释一下为什么会这样吗?请分享一些能够解释这一点的文档。
1 個回答
- 最新
- 最多得票
- 最多評論
0
【以下的回答经过翻译处理】 尽管我们有时会记录什么是不可能的,但我不知道是否有一份文档可以解释为什么不能直接使用SSM连接到RDS。因此,让我采取更通用的答案:
SSM允许对实例进行连接之外的更多的功能和更改!因此,在RDS实例上具有完整的SSM功能将破坏我们用于RDS的共享责任模型(您也可以说:它将违反RDS的“黑盒”原则)。因此,您需要一个中介实例,它将RDS公开的TCP端口转发到您的本地计算机。
进一步阅读:
- “Amazon RDS中的安全性”中对RDS特定的共享责任模型的解释
- 我们对共享责任模型的总体概述
- EC2实例也可以位于私有子网中,如此处所述:使用首选的GUI远程安全连接到Amazon RDS或Amazon EC2数据库实例