Безопасный доступ к частной базе данных AWS RDS с использованием бастионного хоста и менеджера се...

В этом видео вы узнаете, как безопасно получить доступ к частной базе данных AWS RDS PostgreSQL с вашего локального компьютера, не включая публичный доступ.
Я покажу, как использовать бастионный хост (Jump Box) в сочетании с AWS Systems Manager Session Manager для установления защищенного туннеля к частному экземпляру RDS, а затем подключиться к нему с помощью pgAdmin.

Этот подход соответствует лучшим практикам безопасности AWS, обеспечивая:
Полную приватность вашей базы данных RDS
Избегание управления ключами SSH
Исключение правил входящих групп безопасности
Использование доступа на основе IAM через Session Manager
Что вы узнаете:
Как работает бастионный хост в частной VPC
Настройка AWS Systems Manager Session Manager
Создание защищенной сессии переадресации портов
Подключение pgAdmin к частной базе данных RDS PostgreSQL
Распространенные ошибки и советы по устранению неполадок

Эта настройка идеально подходит для инженеров DevOps, облачных инженеров и бэкенд-разработчиков, которым необходим безопасный доступ к базе данных в AWS без предоставления доступа к инфраструктуре из публичного интернета.

Установка и подключение к базе данных с вашего экземпляра EC2
1. Установка клиента PostgreSQL версии 15

Команда: sudo dnf install -y postgresql15

2. Подключение к удаленной базе данных
psql -h host -p port -U username -d database

Общие параметры
-h – Хост базы данных (DNS-имя или IP-адрес).
host – конечная точка базы данных
-p – Номер порта (по умолчанию 5432).

-U – Роль PostgreSQL (пользователь).

-d – Имя базы данных.

Пример:
psql -h database-1-instance-1.c4xgm0ct6ev4.eu-west-1.rds.amazonaws.com -p 5432 -U dan -d postgres

Установка плагина Session Manager на локальном компьютере:
Сначала установите плагин Session Manager: https://s3.amazonaws.com/session-mana...

2. Подключение через Session Manager:
aws ssm start-session \

--target ec2-instance-id \

--document-name AWS-StartPortForwardingSessionToRemoteHost \

--parameters '{"host":["remote-hostname"],"portNumber":["remote-port"],"localPortNumber":["local-port"]}' \

--region aws-region

Пример:
aws ssm start-session --target i-036ac13130d27526c --document-name AWS-StartPortForwardingSessionToRemoteHost --parameters '{"host":["database-1-instance-1.c4xgm0ct6ev4.eu-west-1.rds.amazonaws.com"],"portNumber":["5432"],"localPortNumber":["5432"]}' --region eu-west-1