Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

RDS Proxy の IAM 認証の設定

PDF
RSS
フォーカスモード
RDS Proxy の IAM 認証の設定 - Amazon Aurora
前提条件Secrets Manager アクセス用の IAM ポリシーの作成

Amazon RDS で RDS Proxy の AWS Identity and Access Management (IAM) 認証を設定するには、必要なアクセス許可を付与する IAM ポリシーを作成して設定します。RDS Proxy は AWS Secrets Manager を使用してデータベース認証情報を安全に管理します。これにより、アプリケーションは認証情報を直接処理することなくプロキシ経由で認証できます。

このトピックでは、必要な IAM ポリシーの作成や IAM ロールへのアタッチなど、RDS Proxy の IAM 認証を設定する手順について説明します。

ヒント

この手順は、独自の IAM ロールを作成する場合にのみ必要です。それ以外の場合は、プロキシの設定時に RDS が自動的に必要なロールを作成するため、これらのステップをスキップできます。

前提条件

RDS Proxy の IAM 認証を設定する前に、以下があることを確認してください。

  • AWS Secrets Manager – データベース認証情報を含む少なくとも 1 つの保存済みシークレット。シークレットの作成手順については、「RDS Proxy の AWS Secrets Manager でのデータベース認証情報の設定」を参照してください。

  • IAM アクセス許可 – AWS Secrets Manager で IAM ポリシー、ロール、シークレットを作成および管理するためのアクセス許可を持つ IAM ロールまたはユーザー。

Secrets Manager アクセス用の IAM ポリシーの作成

RDS Proxy が Secrets Manager からデータベース認証情報を取得できるようにするには、必要なアクセス許可を付与するポリシーを持つ IAM ロールを作成します。

プロキシで使用するシークレットにアクセスするためのロールを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ロールに対するアクセス許可ポリシーを作成します。一般的な手順については、「IAM ポリシーを作成する (コンソール)」を参照してください。

    このポリシーを JSON エディタに貼り付け、以下の変更を行います。

    • 自分のアカウント ID に置き換えます。

    • us-east-2 をプロキシが存在するリージョンに置き換えます。

    • シークレット名を、作成したシークレット名に置き換えます。詳細については、「Specifying KMS keys in IAM policy statements」を参照してください。

    • Secrets Manager シークレットの暗号化に使用した KMS キー ID を、デフォルトキーまたは独自のキーに置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}

  3. ロールを作成し、アクセス許可ポリシーをそのロールにアタッチします。一般的な手順については、「AWS サービスにアクセス許可を委任するロールを作成する」を参照してください。

    [信頼されたエンティティタイプ] で、[AWS サービス] を選択します。[ユースケース] で、[RDS] を選択し、ユースケースの [RDS – ロールをデータベースに追加する] を選択します。

  4. [アクセス許可ポリシー] で、作成したポリシーを選択します。

  5. [信頼されたエンティティを選択] で、ロールの次の信頼ポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

コンソール

プロキシで使用するシークレットにアクセスするためのロールを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ロールに対するアクセス許可ポリシーを作成します。一般的な手順については、「IAM ポリシーを作成する (コンソール)」を参照してください。

    このポリシーを JSON エディタに貼り付け、以下の変更を行います。

    • 自分のアカウント ID に置き換えます。

    • us-east-2 をプロキシが存在するリージョンに置き換えます。

    • シークレット名を、作成したシークレット名に置き換えます。詳細については、「Specifying KMS keys in IAM policy statements」を参照してください。

    • Secrets Manager シークレットの暗号化に使用した KMS キー ID を、デフォルトキーまたは独自のキーに置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}

  3. ロールを作成し、アクセス許可ポリシーをそのロールにアタッチします。一般的な手順については、「AWS サービスにアクセス許可を委任するロールを作成する」を参照してください。

    [信頼されたエンティティタイプ] で、[AWS サービス] を選択します。[ユースケース] で、[RDS] を選択し、ユースケースの [RDS – ロールをデータベースに追加する] を選択します。

  4. [アクセス許可ポリシー] で、作成したポリシーを選択します。

  5. [信頼されたエンティティを選択] で、ロールの次の信頼ポリシーを入力します。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWS CLI を使用してロールを作成するには、次のリクエストを送信します。

aws iam create-role \
  --role-name my_role_name \
  --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}'

ポリシーをロールにアタッチします。

aws iam put-role-policy \
  --role-name my_role_name \
  --policy-name secret_reader_policy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}'

AWS CLI を使用してロールを作成するには、次のリクエストを送信します。

aws iam create-role \
  --role-name my_role_name \
  --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}'

ポリシーをロールにアタッチします。

aws iam put-role-policy \
  --role-name my_role_name \
  --policy-name secret_reader_policy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}'

IAM ロールとアクセス許可を設定したら、プロキシを作成してこのロールに関連付けることができます。これにより、プロキシは AWS Secrets Manager からデータベース認証情報を安全に取得し、アプリケーションの IAM 認証を有効にすることができます。手順については、RDS Proxy の作成 を参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.