Я восстанавливаю (= создаю новый экземпляр) снимок состояния MySQL RDS, используя boto3. К сожалению, группа безопасности не копируется, вместо этого ей назначается группа безопасности по умолчанию, которая не имеет ограничений на входящий трафик.
Глядя на исходный экземпляр RDS, я вижу правильную группу безопасности (sg-a247eec5), прикрепленную к экземпляру RDS. Эта группа безопасности отображается в разделе EC2 - Группы безопасности и VPC - Группы безопасности, но не в разделе RDS - Группы безопасности. .
Я могу легко подключить правильную группу безопасности с помощью пользовательского интерфейса AWS (изменив свой экземпляр RDS).
На EC2 есть modify_instance_attribute клиент, который может изменять группы безопасности, но для него требуется InstanceId, который я не получаю из своего экземпляра RDS. Единственное, что я могу найти, это DBInstanceIdentifier.
Меня тоже смущает попытка установить правильные разрешения IAM. У меня есть RDS ARN: arn: aws: rds: ap-southeast-2: ‹account_id>: db: ‹db_instance_name>, но ModifyInstanceAttribute указан в Amazon EC2. Выбор обоих в редакторе политики дает мне сообщение об ошибке, указывающее, что ARN недействителен (что имеет смысл).