O principal problema aqui é que você precisa 1) adicionar uma função do IAM à instância do RDS para acessar o bucket do S3 e 2) adicionar um endpoint do S3 à VPC em que a instância do RDS é executada para permitir as comunicações.
Este é o procedimento que segui para fazê-lo funcionar, usando comandos do AWS cli em um shell (cuide de valor adequadamente as variáveis ambientais envolvidas), espero que possa ajudar:
- Crie a função do IAM:
$ aws iam create-role \
--role-name $ROLE_NAME \
--assume-role-policy-document '{"Version": "2012-10-17", "Statement": [{"Effect": "Allow", "Principal": {"Service": "rds.amazonaws.com"}, "Action": "sts:AssumeRole"}]}'
- Crie a política do IAM que será anexada à função do IAM:
$ aws iam create-policy \
--policy-name $POLICY_NAME \
--policy-document '{"Version": "2012-10-17", "Statement": [{"Sid": "s3import", "Action": ["s3:GetObject", "s3:ListBucket"], "Effect": "Allow", "Resource": ["arn:aws:s3:::${BUCKET_NAME}", "arn:aws:s3:::${BUCKET_NAME}/*"]}]}'
- Anexar a política:
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::$AWS_ACCOUNT_ID:policy/$POLICY_NAME \
--role-name $ROLE_NAME
- Adicione a função a uma instância específica - esta etapa precisa ser repetida para cada nova instância:
$ aws rds add-role-to-db-instance \
--db-instance-identifier $RDS_INSTANCE_NAME \
--feature-name s3Import \
--role-arn arn:aws:iam::$AWS_ACCOUNT_ID:role/$ROLE_NAME \
--region $REGION
- Crie o VPC endpoint para o serviço S3:
$ aws ec2 create-vpc-endpoint \
--vpc-id $VPC_ID \
--service-name com.amazonaws.$REGION.s3
--route-table-ids $ROUTE_TABLE_ID
O ID da tabela de rotas relacionado à VPC em que o endpoint é criado pode ser recuperado por meio do comando
$ aws ec2 describe-route-tables | jq -r '.RouteTables[] | "\(.VpcId) \(.RouteTableId)"'
