RDS Proxy を介したデータベースへの接続
プロキシを介して、またはデータベースに接続することによって RDS DB インスタンスに接続する方法は、一般に同じです。詳細については、「プロキシエンドポイントの概要」を参照してください。
トピック
ネイティブ認証を使用したプロキシへの接続
以下のステップを使用して、ネイティブ認証を使用してプロキシに接続します。
-
プロキシエンドポイントを見つけます。AWS Management Console では、プロキシの詳細ページで対応するエンドポイントを見つけることができます。AWS CLI では、describe-db-proxies コマンドを使用できます。以下の例のように指定します。
# Add --output text to get output as a simple tab-separated list. $ aws rds describe-db-proxies --query '*[*].{DBProxyName:DBProxyName,Endpoint:Endpoint}' [ [ { "Endpoint": "the-proxy.proxy-demo.us-east-1.rds.amazonaws.com", "DBProxyName": "the-proxy" }, { "Endpoint": "the-proxy-other-secret.proxy-demo.us-east-1.rds.amazonaws.com", "DBProxyName": "the-proxy-other-secret" }, { "Endpoint": "the-proxy-rds-secret.proxy-demo.us-east-1.rds.amazonaws.com", "DBProxyName": "the-proxy-rds-secret" }, { "Endpoint": "the-proxy-t3.proxy-demo.us-east-1.rds.amazonaws.com", "DBProxyName": "the-proxy-t3" } ] ] -
クライアントアプリケーションの接続文字列で、そのエンドポイントをホストパラメータとして指定します。例えば、
mysql -hオプションまたはpsql -hオプションの値としてプロキシエンドポイントを指定します。 -
通常と同じようにデータベースのユーザー名とパスワードを指定します。
IAM 認証を使用したプロキシへの接続
RDS Proxy で IAM 認証を使用する場合は、通常のユーザー名とパスワードで認証するようにデータベースユーザーを設定します。IAM 認証は、Secrets Manager からユーザー名とパスワードの認証情報 RDS Proxy を取得する場合に適用されます。RDS Proxy から基礎となるデータベースへの接続は IAM を経由しません。
IAM 認証を使用して RDS Proxy に接続するには、RDS DB インスタンスとの IAM 認証と同じ一般的な接続手順で行います。IAM の使用に関する一般情報については、「Amazon RDS でのセキュリティ」を参照してください。
RDS Proxy での IAM の使用方法の主な違いは以下のとおりです。
-
認可プラグインで個々のデータベースユーザーを設定することはありません。データベースユーザーが通常使用するユーザー名とパスワードはデータベース内に保管されています。これらのユーザー名とパスワードを含む Secrets Manager シークレットを設定し、RDS Proxy に Secrets Manager からの認証情報の取得を認可します。
IAM 認証がクライアントプログラムとプロキシ間の接続に適用されます。その後、プロキシは、Secrets Manager から取得したユーザー名とパスワードの認証情報を使用して、データベースに対して認証します。
-
インスタンス、クラスター、またはリーダーの各エンドポイントの代わりに、プロキシエンドポイントを指定します。プロキシエンドポイントの詳細については、「IAM 認証を使用した DB インスタンスへの接続」を参照してください。
-
直接 DB IAM 認証では、データベースユーザーを選択し、特別な認証プラグインで識別されるように設定します。その後、IAM 認証を使用してそれらのユーザーに接続できます。
プロキシのユースケースでは、ユーザーのユーザー名とパスワード (ネイティブ認証) を含むシークレットをプロキシに提供します。次に、IAM 認証を使用してプロキシに接続します。ここでは、データベースエンドポイントではなく、プロキシエンドポイントで認証トークンを生成して実行します。また、指定したシークレットのユーザー名の 1 つと一致するユーザー名を使用します。
-
IAM 認証を使用してプロキシに接続する場合は、Transport Layer Security (TLS) / Secure Sockets Layer (SSL) を使用していることを確認してください。
IAM ポリシーを変更することで、特定のユーザーにプロキシへのアクセスを許可できます。以下に例を示します。
"Resource": "arn:aws:rds-db:us-east-2:1234567890:dbuser:prx-ABCDEFGHIJKL01234/db_user"
Microsoft SQL Server でプロキシに接続する際の考慮事項
IAM 認証を使用してプロキシに接続する場合、パスワードフィールドは使用しません。代わりに、データベースドライバーの種類ごとに適切なトークンプロパティをトークンフィールドに指定します。例えば、JDBC の accessToken プロパティや ODBC の sql_copt_ss_access_token プロパティを使用します。または、.NET SqlClient ドライバーの AccessToken プロパティを使用します。トークンプロパティをサポートしていないクライアントでは IAM 認証を使用できません。
プロキシがデータベース接続を共有できない条件もあるため、代わりにクライアントアプリケーションからプロキシへの接続を専用のデータベース接続に固定します。これらの条件の詳細については、「RDS Proxy の固定の回避」を参照してください。
PostgreSQL でプロキシに接続する際の考慮事項
PostgreSQL では、クライアントが PostgreSQL データベースへの接続をスタートする際は起動メッセージを送信します。このメッセージには、パラメータ名と値の文字列のペアが含まれています。詳細については、PostgreSQL ドキュメントの「PostgreSQL Message FormatsStartupMessage を参照してください。
RDS Proxy を介して接続する場合、起動メッセージには、現在認識されている以下のパラメータを含めることができます。
-
user -
database
起動メッセージには、以下の追加のランタイムパラメータを含めることもできます。
PostgreSQL メッセージの詳細については、PostgreSQL ドキュメントの「Frontend/Backend Protocol
PostgreSQL では、JDBC を使用する場合、ピニングを回避するために以下の操作をお勧めします。
-
固定を回避するために、JDBC 接続パラメータ
assumeMinServerVersionを9.0以上に設定します。これにより、JDBC ドライバーがSET extra_float_digits = 3を実行するとき、接続の始動時に余分なラウンドトリップを実行しなくなります。 -
固定を回避するために、JDBC 接続パラメータ
ApplicationNameをany/your-application-nameSET application_name = "PostgreSQL JDBC Driver"を実行するとき、接続のスタートアップ中に余分なラウンドトリップを実行しなくなります。JDBC パラメータはApplicationNameですが、PostgreSQLStartupMessageパラメータはapplication_nameです。
詳細については、「RDS Proxy の固定の回避」を参照してください。JDBC を使用した接続の詳細については、PostgreSQL ドキュメントの「Connecting to the Database
