メニュー
Amazon Relational Database Service
ユーザーガイド (API バージョン 2014-10-31)

MySQL および Amazon Aurora に対する IAM データベース認証

Amazon RDS for MySQL または Amazon RDS for Aurora と MySQL の互換性 の場合は、AWS Identity and Access Management (IAM) データベース認証を使用して DB インスタンスまたは DB クラスターに対して認証できます。この認証方法では、DB インスタンスに接続するときにパスワードを使用する必要はありません。代わりに、認証トークンを使用します。

認証トークンは、Amazon RDS がリクエストに応じて生成する一意の文字列です。認証トークンは、AWS 署名バージョン 4 を使用して生成されます。各トークンには 15 分の有効期間があります。認証は IAM を使用して外部的に管理されるため、ユーザー認証情報をデータベースに保存する必要はありません。引き続き標準のデータベース認証を使用することもできます。

IAM データベース認証には次の利点があります。

  • データベースに出入りするネットワークトラフィックは、Secure Sockets Layer (SSL) を使用して暗号化されます。

  • IAM を使用して各 DB インスタンスまたは DB クラスターで個別に管理するのではなく、データベースリソースへのアクセスを一元的に管理できます。

  • Amazon EC2 で実行するアプリケーションの場合、セキュリティを高めるため、EC2 インスタンスプロファイルの認証情報を使用して、パスワードの代わりにデータベースにアクセスできます。

IAM データベース認証の可用性

IAM データベース認証は、以下のデータベースエンジンおよびインスタンスクラスで利用できます。

  • MySQL 5.6、マイナーバージョン 5.6.34 以降. すべてのインスタンスクラスは、db.m1.small を除いてサポートされます。

  • MySQL 5.7、マイナーバージョン 5.7.16 以降. すべてのインスタンスクラスは、db.m1.small を除いてサポートされます。

  • Aurora と MySQL の互換性 バージョン 1.10 以上すべてのインスタンスクラスは、db.t2.small を除いてサポートされます。

IAM データベース認証の制限

IAM データベース認証では、1 秒あたりの新しい接続数は 20 までに制限されます。db.t2.micro インスタンスクラスを使用している場合、この制限は 1 秒あたり 10 接続に制限されます。

Amazon RDS for MySQL および Aurora MySQL データベースエンジンでは、1 秒あたりの認証試行回数に制限はありません。ただし、IAM データベース認証を使用するときは、アプリケーションは認証トークンを生成する必要があります。次に、アプリケーションはそのトークンを使用して DB インスタンスまたはクラスターに接続します。1 秒あたりの新しい接続数の上限を超えた場合、IAM データベース認証の追加オーバーヘッドによって接続のスロットリングが発生する場合があります。追加オーバーヘッドによって既存の接続が切断される可能性もあります。

次の構成を推奨します。

  • データベースへの一時的な個人アクセス用メカニズムとして IAM データベース認証を使用します。

  • アプリケーションで 1 秒あたり 20 を超える新しい接続が必要な場合は、IAM データベース認証を使用しないでください。

  • 簡単に再試行できるワークロードに対してのみ、IAM データベース認証を使用します。

注記

MySQL の最大合計接続数については、「MySQL 接続の最大数」を参照してください。Aurora MySQL の最大合計接続数については、「Aurora MySQL DB インスタンスへの最大接続数」を参照してください。

このページの内容: