Hologres实例SSO账号没有权限登录，psql异常，怎么解决?

Hologres实例SSO账号没有权限登录，psql异常，详情：FATAL: password authentication failed for user "STS.NTnPADh8oQzxF4cycx5tGkuzh"
未知错误，请联系技术支持或系统管理员，怎么解决?

展开

收起

真的很搞笑 2023-10-31 18:57:13 104 版权

阿里云 AI 助理回答

根据您提供的错误信息 FATAL: password authentication failed for user "STS.NTnPADh8oPADh8oQzxF4cycx5tGkuzh"，这表明当前使用的SSO账号（RAM角色）在尝试登录Hologres实例时遇到了权限或认证问题。以下是详细的排查步骤和解决方案：

1. 确认RAM角色是否已添加到Hologres实例

问题原因：如果RAM角色未被添加到Hologres实例中，系统会报错提示用户不存在。
解决方法：
1. 登录Hologres管理控制台。
2. 在实例列表中选择目标实例，进入实例详情页面。
3. 检查“用户管理”模块，确认当前RAM角色（如STS.NTnPADh8oQzxF4cycx5tGkuzh）是否已添加到实例中。
4. 如果未添加，请按照以下步骤新增RAM角色：
  - 点击“新增用户”。
  - 输入RAM角色的名称（如STS.NTnPADh8oQzxF4cycx5tGkuzh）。
  - 授予适当的权限（如Superuser或其他所需权限）。

2. 检查AccessKey ID、AccessKey Secret和Security Token

问题原因：使用RAM角色登录时，需要提供正确的AccessKey ID、AccessKey Secret以及临时的Security Token。如果这些信息不正确或已过期，会导致认证失败。
解决方法：
1. 确保您使用的AccessKey ID和AccessKey Secret是有效的，并且与当前RAM角色匹配。
2. 如果通过URL传递Security Token，请确保其经过URLEncoder.encode处理。
3. 验证AccessKey和Token的有效性：
  - 使用以下命令测试连接：
```
psql -h <Endpoint> -p <Port> -U <AccessKey ID> -d <Database>
```
  - 输入AccessKey Secret作为密码。
4. 如果仍然报错，建议重新生成临时凭证（AccessKey ID、AccessKey Secret和Security Token）并重试。

3. 验证RAM角色的信任策略

问题原因：RAM角色的信任策略可能未正确配置，导致无法访问Hologres实例。
解决方法：
1. 登录RAM控制台。
2. 导航至“身份管理 > 角色”，找到对应的RAM角色（如STS.NTnPADh8oQzxF4cycx5tGkuzh）。
3. 检查信任策略，确保其允许Hologres服务访问。例如，信任策略应包含以下内容：
```
{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "hologres.aliyuncs.com"
      }
    }
  ],
  "Version": "1"
}
```
4. 如果信任策略不正确，请修改为上述内容并保存。

4. 检查Hologres实例的权限模型

问题原因：Hologres支持多种权限模型（如专家权限模型、简单权限模型等）。如果当前实例未启用适合RAM角色的权限模型，可能导致登录失败。
解决方法：
1. 确认当前实例的权限模型：
  - 执行以下SQL命令查看是否启用了简单权限模型（SPM）：
```
SHOW hg_experimental_enable_spm;
```
  - 如果返回值为off，说明未启用SPM。
2. 启用简单权限模型（SPM）：
  - 执行以下命令启用SPM：
```
CALL spm_enable('t');
```
3. 将RAM角色添加到合适的用户组（如viewer及以上）：
  - 执行以下命令授权：
```
CALL spm_grant('<dbname>_admin', 'STS.NTnPADh8oQzxF4cycx5tGkuzh');
```
  - 替换<dbname>为目标数据库名称。