메뉴
Amazon Relational Database Service
사용 설명서 (API Version 2014-10-31)

MySQL 및 Amazon Aurora를 위한 IAM 데이터베이스 인증

Amazon RDS MySQL 또는 Aurora with MySQL compatibility에서는 AWS Identity and Access Management(IAM) 데이터베이스 인증 방식으로 DB 인스턴스 또는 DB 클러스터에 대한 인증을 처리할 수 있습니다. 이러한 인증 방식은 DB 인스턴스에 연결할 때 암호를 사용할 필요 없습니다. 대신에 인증 토큰을 사용합니다.

인증 토큰이란 요청이 있을 때 Amazon RDS가 생성하는 고유 문자열을 말합니다. 인증 토큰은 AWS 서명 버전 4를 통해 생성됩니다. 각 토큰의 수명은 15분입니다. 인증을 외부에서 IAM을 사용해 관리하기 때문에 사용자 자격 증명을 데이터베이스에 저장할 필요도 없습니다. 또한 표준 데이터베이스 인증 방식도 사용 가능합니다.

IAM 데이터베이스 인증은 다음과 같은 이점이 있습니다.

  • 데이터베이스를 오가는 네트워크 트래픽은 SSL(Secure Sockets Layer)을 통해 암호화됩니다.

  • 데이터베이스 리소스에 대한 액세스는 DB 인스턴스 또는 DB 클러스터에서 개별적으로 관리할 필요 없이 IAM을 통해 중앙에서 관리할 수 있습니다.

  • Amazon EC2에서 실행되는 애플리케이션의 경우, 암호가 아닌 EC2 인스턴스 프로파일 자격 증명을 사용해 데이터베이스에 액세스하기 때문에 보안을 더욱 강화하는 효과가 있습니다.

IAM 데이터베이스 인증 방식의 가용성

IAM 데이터베이스 인증 방식은 다음과 같은 데이터베이스 엔진 및 인스턴스 클래스에서 사용할 수 있습니다.

  • MySQL 5.6, 마이너 버전 5.6.34 이상. db.t1.microdb.m1.small을 제외한 모든 인스턴스 클래스가 지원됩니다.

  • MySQL 5.7, 마이너 버전 5.7.16 이상. db.t1.microdb.m1.small을 제외한 모든 인스턴스 클래스가 지원됩니다.

  • Amazon Aurora 1.10 이상. db.t2.small을 제외한 모든 인스턴스 클래스가 지원됩니다.

IAM 데이터베이스 인증 방식의 제한

IAM 데이터베이스 인증 방식에서는 초당 연결 수가 최대 20개로 제한됩니다. 여기에 사용하는 인스턴스 클래스가 db.t2.micro라면 초당 연결 수는 최대 10개로 줄어듭니다.

Amazon RDS MySQL 및 Aurora MySQL 데이터베이스 엔진은 초당 인증 횟수에 제한이 없습니다. 하지만 IAM 데이터베이스 인증 방식을 사용할 때는 애플리케이션이 인증 토큰을 생성해야 합니다. 이렇게 생성된 토큰은 애플리케이션이 DB 인스턴스 또는 클러스터에 연결하는 데 사용됩니다. 초당 최대 연결 수를 초과하면 IAM 데이터베이스 인증에 오버헤드가 추가로 발생하여 연결 병목 현상이 발생할 수 있습니다. 추가되는 오버헤드는 심지어 기존 연결까지 끊어지는 원인이 되기도 합니다.

다음과 같이 하는 것이 좋습니다.

  • IAM 데이터베이스 인증 방식은 개인이 일시적으로 데이터베이스에 액세스하기 위한 메커니즘으로 사용하십시오.

  • 애플리케이션이 최대 연결 수를 초과해야 하는 경우에는 IAM 데이터베이스 인증 방식을 사용하지 마십시오.

  • 재시도가 용이한 워크로드에서만 IAM 데이터베이스 인증 방식을 사용하십시오.

이 페이지에서: