왜 scram-sha-256을 사용하여 Secrets Manager 로테이션 함수를 Aurora PostgreSQL 데이터베이스에 연결할 수 없나요?

간략한 설명

데이터베이스가 Aurora PostgreSQL 버전 13 이상인 경우 다음과 같은 경우 순환 함수가 데이터베이스에 연결되지 않을 수 있습니다.

• 데이터베이스는 ** scram-sha-256**을 사용하여 암호를 암호화합니다.
• 로테이션 함수는 libpq 기반 클라이언트의 버전 9 이하를 사용합니다.

중요: 2021년 12월 30일 이전에 자동 비밀 로테이션을 설정한 경우 로테이션 함수는 scram-sha-256을 지원하지 않는 이전 버전의 libpq를 번들화한 것입니다.

해결 방법

다음 단계에 따라 데이터베이스 사용자가 scram-sha-256 암호화 및 로테이션 함수 libpq 버전을 사용하는지 확인하세요.

어떤 데이터베이스 사용자가 scram-sha-256 암호화를 사용하는지 확인

scram-sha-256 암호화된 암호를 사용하는 사용자가 있는지 확인하려면 AWS 블로그 PostgreSQL 13용 Amazon 관계형 데이터베이스 서비스의 SCRAM 인증을 참조하세요.

로테이션 함수에서 사용하는 libpq 버전을 결정하세요.

1.    Lambda 콘솔을 엽니다.

2.    탐색 창에서 함수를 선택한 다음 로테이션에 실패한 Lambda 함수 이름을 선택합니다.

3.    코드 탭을 선택합니다.

4.    작업을 선택하고 내보내기 함수를 선택한 다음 배포 패키지 다운로드를 선택합니다.

5.    zip 파일을 작업 디렉토리에 압축 해제합니다.

6.    작업 디렉터리에서 다음 Linux 명령을 실행합니다.

readelf -a libpq.so.5 | grep RUNPATH

PostgreSQL-9.4.x 문자열이 표시되거나 10 미만의 주요 버전이 표시되면 로테이션 함수가 scram-sha-256을 지원하지 않습니다.

scram-sha-256을 지원하지 않는 로테이션 함수의 출력 예시:

0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-9.4.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]
    * Example output for a rotation function that supports scram-sha-256:

scram-sha-256을 지원하는 로테이션 함수의 출력 예시:

0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-10.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]

데이터베이스에서 scram-sha-256을 사용하고 예제 출력에 로테이션 함수가 scram-sha-256을 지원하지 않는 것으로 표시되면 로테이션 함수를 다시 만들어야 합니다.

관련 정보

AWS Secrets Manager 로테이션 문제 해결