Rust-Postgres 连接 RDS IAM 认证问题解析

在使用 Rust 的 tokio-postgres 库连接 AWS RDS 数据库时，开发者经常会遇到 IAM 认证失败的问题。本文将深入分析这个问题的原因和解决方案。

问题现象

当尝试使用 IAM 认证方式连接 RDS PostgreSQL 时，开发者可能会遇到如下错误：

pg_hba.conf rejects connection for host "45.45.101.224", user "my_user", database "mydb", no encryption

这个错误表明数据库服务器拒绝了连接请求，原因是连接没有使用加密。

根本原因

1. IAM 认证要求：AWS RDS 的 IAM 认证强制要求使用 SSL/TLS 加密连接，这是 AWS 的安全策略。

2. 配置误解：开发者虽然设置了 sslmode=prefer，但传递了 NoTls 参数给 connect 方法，这实际上会禁用 TLS 加密。

3. 模式选择不当：prefer 模式表示"优先尝试 TLS，但不强制"，而 RDS IAM 认证需要强制 TLS 连接。

解决方案

1. 使用正确的 TLS 配置

必须使用实际的 TLS 实现，如 postgres-openssl 或 postgres-native-tls 库。以下是使用 native-tls 的示例：

use native_tls::TlsConnector;
use postgres_native_tls::MakeTlsConnector;

let connector = TlsConnector::builder()
    .danger_accept_invalid_certs(true) // 仅用于测试环境
    .build()
    .unwrap();
let tls = MakeTlsConnector::new(connector);

let (client, conn) = cnx.connect(tls).await.unwrap();

2. 调整 SSL 模式

将 sslmode 设置为 require 或 verify-full：

let connection_cfg = format!("host=... sslmode=require");

3. 生产环境注意事项

在生产环境中，应该：

1. 使用 verify-full 模式
2. 配置正确的 CA 证书
3. 避免使用 danger_accept_invalid_certs

技术背景

AWS RDS IAM 认证的工作机制：

1. 客户端使用 AWS SDK 生成临时认证令牌
2. 该令牌作为密码传递给 PostgreSQL
3. RDS 服务器端验证令牌的有效性
4. 整个过程必须在加密通道中进行

最佳实践

1. 始终为 RDS IAM 认证启用 TLS
2. 在开发环境可以使用宽松的证书验证，但生产环境必须严格验证
3. 考虑使用连接池管理数据库连接
4. 定期轮换 IAM 凭证

通过正确配置 TLS 连接，可以成功实现 Rust 应用与 RDS PostgreSQL 的 IAM 认证集成。