我使用AWS CDK为Postgres部署AWS Aurora,它创建了一个集群管理员角色,并将其密码作为秘密提供给其他基础设施,特别是Lambdas。我正在寻找一种方法也在数据库中创建一个非特权角色,然后将其登录凭据传播给Lambdas等,以消除通过设计使用超级用户凭据访问数据库的风险。
CDK似乎只创建了一个用户帐户,从那里,IaC作者必须自己照顾自己。CDK如何适应这种情况?
CDK本身——就像所有IaC工具一样,例如Terraform——管理基础设施的供应。
你实际上想初始化你的RDS实例&在中创建用户/角色数据库本身,它与基础设施配置和CDK没有自然的关系。
虽然这不是内置到CDK中,但是您可以在创建RDS数据库之后使用AwsCustomResource通过Lambda创建非特权角色。请查看这篇题为使用AWS CDK初始化Amazon RDS实例的官方博客文章,了解如何开始的更多信息。