Amazon Relational Database Service
ユーザーガイド (API バージョン 2014-10-31)

IAM 認証を使用したデータベースアカウントの作成

IAM データベース認証では、作成するユーザーアカウントにデータベースのパスワードを割り当てる必要はありません。データベースアカウントにマッピングされている IAM ユーザーを削除する場合、DROP USER ステートメントでデータベースアカウントも削除する必要があります。

PostgreSQL での IAM 認証の使用

PostgreSQL 用の IAM 認証を使用するには、DB インスタンスに接続し、データベースユーザーを作成して、次の例に示すように、ユーザーに rds_iam ロールを付与します。

CREATE USER db_userx WITH LOGIN; GRANT rds_iam TO db_userx;

MySQL での IAM 認証の使用

MySQL では、認証は、IAM とシームレスに連携して IAM ユーザーを認証する AWS 提供のプラグインである AWSAuthenticationPlugin によって処理されます。DB インスタンスに接続し、次の例に示すように、CREATE USER ステートメントを発行します。

CREATE USER jane_doe IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';

IDENTIFIED WITH 句により、MySQL は AWSAuthenticationPlugin を使用して、データベースアカウント (jane_doe) を認証できます。AS 'RDS' 句は認証方法を示し、指定するデータベースアカウントは IAM ユーザーあるいはロールと同じ名前である必要があります。この例では、データベースアカウントと IAM ユーザーあるいはロールの両方が jane_doe という名前である必要があります。

注記

次のメッセージが表示された場合、AWS が提供するプラグインが、現在の DB インスタンスに使用できないことを意味します。

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

このエラーをトラブルシューティングするには、サポートされている設定を使用していること、および DB インスタンスで IAM データベース認証を有効にしていることを確認します。詳細については、「IAM データベース認証の可用性」および「IAM データベース認証の有効化と無効化」を参照してください。

AWSAuthenticationPlugin を使用してアカウントを作成したら、他のデータベースのアカウントと同様に管理します。たとえば、GRANT および REVOKE ステートメントでアカウント特権を変更したり、ALTER USER ステートメントでさまざまなアカウント属性を変更したりできます。