从AWS ECS Fargate访问AWS RDS的最佳方式

我有运行AWS ECS Fargate的基于Java的容器。现在我们正在通过用户名-密码组合访问AWS RDS Postgres数据库，但我想知道如何使这个过程更加安全。

但我有一个问题：如何避免将用户密码存储在.psql脚本(CREATE USER username WITH PASSWORD 'xxx'(中？我认为更好的选择是完全避免使用密码，但我不确定如何做到…

将密码加载到Fargate容器是从AWS Secrets Manager-这是可以的。

你有什么建议吗？

编辑：我会在这里分享我的进展，这样任何人都可以复制
文档：https://docs.aws.amazon.com/.../.../.../UsingWithRDS.IAMDBAuth.html

-第一阶段-
目标：IAM Auth的PoC(使用IAM用户(

1. 我已准备好RDS实例以允许IAM身份验证
2. 我已经创建了IAM用户，向其附加了新的IAM策略，并创建了一个访问密钥

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "rds-db:*",
"Resource": "arn:aws:rds-db:eu-central-1:666:dbuser:db-YFVS/iam_user"
}
]
}

注意：在资源中使用的是resourceId，而不是arn！(这可以在rds实例的配置选项卡中找到(

3. 我已经在数据库中创建了用户

CREATE USER iam_user; 
GRANT rds_iam TO iam_user;

4. 我测试了连接(导出访问密钥后(

# Generate token
export RDSHOST="dev.aaaaa.eu-central-1.rds.amazonaws.com"
export PGPASSWORD="$(aws rds generate-db-auth-token --hostname $RDSHOST --port 5432 --region eu-central-1 --username iam_user )"
#Connect
psql "host=$RDSHOST port=5432 dbname=mydb user=iam_user password=$PGPASSWORD"
mydb->

现在我想继续Java实现，并进一步转到Fargate

-第二阶段-
目标：在Python应用程序中实现IAM身份验证我遵循了这里的教程，效果很好。我使用了在上一步中创建的IAM用户的IAM凭据(密钥、机密(。此外，我已经从ENV加载了creds，而不是配置文件。

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Connecting.Python.html

import psycopg2
import sys
import boto3
ENDPOINT="postgresmydb.123456789012.us-east-1.rds.amazonaws.com"
PORT="5432"
USR="jane_doe"
REGION="us-east-1"
DBNAME="mydb"
session = boto3.Session(region_name='us-east-1',
aws_access_key_id=os.environ['AWS_ACCESS_KEY_ID'],
aws_secret_access_key=os.environ['AWS_SECRET_ACCESS_KEY'])
token = client.generate_db_auth_token(DBHostname=ENDPOINT, Port=PORT, DBUsername=USR, Region=REGION)
try:
conn = psycopg2.connect(host=ENDPOINT, port=PORT, database=DBNAME, user=USR, password=token)
cur = conn.cursor()
cur.execute("""SELECT now()""")
query_results = cur.fetchall()
print(query_results)
except Exception as e:
print("Database connection failed due to {}".format(e))