IAM データベース認証の有効化と無効化
デフォルトでは、IAM データベース認証は DB インスタンスで無効になります。AWS Management Console、AWS CLI、API のいずれかを使用して、IAM データベース認証を有効または無効にすることができます。
次のいずれかのアクションを実行する際に、IAM データベース認証を有効にすることができます。
-
IAM データベース認証を有効にして新しい DB インスタンスを作成するには、「Amazon RDS DB インスタンスの作成」を参照してください。
-
DB インスタンスを変更して IAM データベース認証を有効にするには、「Amazon RDS DB インスタンスを変更する」を参照してください。
-
IAM データベース認証を有効にしてスナップショットから DB インスタンスを復元するには、「DB インスタンスへの復元」を参照してください。
-
IAM データベース認証を有効化しながら DB インスタンスを特定の時点に復元するには、「Amazon RDS の DB インスタンスを特定の時点に復元する」を参照してください。
PostgreSQL DB インスタンスの IAM 認証は、SSL 値が 1 である必要があります。SSL 値が 0 である場合、PostgreSQL DB インスタンスの IAM 認証を有効にすることはできません。PostgreSQL DB インスタンスに対して IAM 認証が有効である場合は、SSL 値を 0 に変更することはできません。
作成または変更の各ワークフローには、[データベース認証] セクションがあり、IAM データベース認証を有効または無効にすることができます。そのセクションで、[パスワードと IAM データベース認証] を選択して、IAM データベース認証を有効にします。
既存の DB インスタンスに対して IAM データベース認証を有効または無効にするには
Amazon RDS コンソール (https://console.aws.amazon.com/rds/
) を開きます。 -
ナビゲーションペインで、[データベース] を選択します。
-
変更する DB インスタンスを選択します。
注記
DB インスタンスが IAM 認証と互換性があることを確認します。利用可能なリージョンとバージョン の互換性要件を確認する。
-
Modify を選択します。
-
[データベース認証] セクションで、[パスワードと IAM データベース認証] を選択して、IAM データベース認証を有効にします。IAM 認証を無効にするには、[パスワード認証] または [パスワードと Kerberos 認証] を選択します。
-
[Continue] (続行) をクリックします。
-
変更をすぐに適用するには、[変更のスケジューリング] セクションで [今すぐ] を選択します。
-
[DB インスタンスを変更 ] を選択します。
AWS CLI を使用して、IAM 認証で新しい DB インスタンスを作成するには、create-db-instance コマンドを使用します。次の例のように、--enable-iam-database-authentication オプションを指定します。
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m3.medium\ --engineMySQL\ --allocated-storage20\ --master-usernamemasterawsuser\ --manage-master-user-password \ --enable-iam-database-authentication
既存の DB インスタンスを更新して、IAM 認証を使用するかどうかを指定するには、AWS CLI コマンド modify-db-instance を使用します。必要に応じて --enable-iam-database-authentication または --no-enable-iam-database-authentication オプションを指定します。
注記
DB インスタンスが IAM 認証と互換性があることを確認します。利用可能なリージョンとバージョン の互換性要件を確認する。
デフォルトでは、Amazon RDS は次のメンテナンスウィンドウ中に変更を実行します。これを上書きし、IAM DB 認証をできるだけ早く有効にする場合は、--apply-immediately パラメータを使用します。
次の例は、既存の DB インスタンスの IAM 認証をすぐに有効にする方法を示しています。
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --apply-immediately \ --enable-iam-database-authentication
DB インスタンスを復元する場合は、次のいずれかの AWS CLI コマンドを使用します。
IAM データベース認証設定は、デフォルトで元のスナップショットの設定になります。この設定を変更するには、必要に応じて --enable-iam-database-authentication または --no-enable-iam-database-authentication オプションを設定します。
API を使用して、IAM 認証で新しい DB インスタンスを作成するには、API オペレーション CreateDBInstance を使用します。EnableIAMDatabaseAuthentication パラメータを true に設定します。
既存の DB インスタンスを更新して、IAM 認証を持つ、または持たないようにするには、API オペレーション ModifyDBInstance を使用します。EnableIAMDatabaseAuthentication パラメータを true に設定して IAM 認証を有効にするか、false に設定して無効にします。
注記
DB インスタンスが IAM 認証と互換性があることを確認します。利用可能なリージョンとバージョン の互換性要件を確認する。
DB インスタンスを復元する場合は、次のいずれかの API オペレーションを使用します。
IAM データベース認証設定は、デフォルトで元のスナップショットの設定になります。この設定を変更するには、EnableIAMDatabaseAuthentication パラメータを true に設定して IAM 認証を有効にするか、false に設定して無効にします。
