MySQL および PostgreSQL の IAM データベース認証
DB インスタンスに対して認証を実行するには、AWS Identity and Access Management (IAM) データベース認証を使用します。IAM データベース認証は MySQL および PostgreSQL で動作します。この認証方法では、DB インスタンスに接続するときにパスワードを使用する必要はありません。代わりに、認証トークンを使用します。
認証トークンは、Amazon RDS がリクエストに応じて生成する一意の文字列です。認証トークンは、AWS 署名バージョン 4 を使用して生成されます。各トークンには 15 分の有効期間があります。認証は IAM を使用して外部的に管理されるため、ユーザー認証情報をデータベースに保存する必要はありません。引き続き標準のデータベース認証を使用することもできます。
IAM データベース認証には次の利点があります。
-
データベースに出入りするネットワークトラフィックは、Secure Sockets Layer (SSL) を使用して暗号化されます。
-
IAM を使用して各 DB インスタンスで個別に管理するのではなく、データベースリソースへのアクセスを一元的に管理できます。
-
Amazon EC2 で実行するアプリケーションの場合、セキュリティを高めるため、EC2 インスタンスに固有のプロファイル認証情報を使用して、パスワードの代わりにデータベースにアクセスできます。
トピック
IAM データベース認証の可用性
IAM データベース認証は、以下のデータベースエンジンおよび DB インスタンスクラスで利用できます。
-
MySQL 5.6、マイナーバージョン 5.6.34 以降.
-
MySQL 5.7、マイナーバージョン 5.7.16 以降.
-
MySQL 8.0、マイナーバージョン 8.0.16 以降。
-
PostgreSQL バージョン 10.6 以降、9.6.9 以降、バージョン 9.5.15 以降。
IAM データベース認証は、MySQL 5.5 ではサポートされていません。
IAM データベース認証の MySQL の制限事項
MySQL で IAM データベース認証を使用する場合、以下の制限が適用されます。
-
現在、IAM DB 認証はグローバル条件コンテキストキーをサポートしていません。
グローバル条件コンテキストキーの詳細については、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。
-
1 秒間に最大 200 個の新規接続に制限されます。db.t2.micro DB インスタンスクラスを使用している場合、この制限は 1 秒あたり 10 接続に制限されます。
Amazon RDS を使用するデータベースエンジンでは、1 秒あたりの認証試行回数に制限はありません。ただし、IAM データベース認証を使用するときは、アプリケーションは認証トークンを生成する必要があります。次に、アプリケーションはそのトークンを使用して DB インスタンスに接続します。1 秒あたりの新しい接続数の上限を超えた場合、IAM データベース認証の追加オーバーヘッドによって接続のスロットリングが発生する場合があります。追加オーバーヘッドによって既存の接続が切断される可能性もあります。MySQL の最大合計接続数については、「MySQL および MariaDB の最大接続数」を参照してください。
MySQL エンジンを使用する場合には、以下のことをお勧めします。
-
データベースへの一時的な個人アクセス用メカニズムとして IAM データベース認証を使用します。
-
簡単に再試行できるワークロードに対してのみ、IAM データベース認証を使用します。
-
アプリケーションで 1 秒あたり 200 を超える新しい接続が必要な場合は、IAM データベース認証を使用しないでください。
IAM データベース認証の PostgreSQL の制限事項
PostgreSQL で IAM データベース認証を使用する場合、以下の制限が適用されます。
-
データベースインスタンスの 1 秒あたりの最大接続数は、インスタンスタイプとワークロードに応じて制限される場合があります。
-
現在、IAM DB 認証はグローバル条件コンテキストキーをサポートしていません。
グローバル条件コンテキストキーの詳細については、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。
