# RDS Proxy の標準 IAM 認証からエンドツーエンドの IAM 認証への移行 現在 RDS Proxy の標準 IAM 認証を使用している場合、クライアントは IAM を使用してプロキシを認証し、プロキシはシークレットを使用してデータベースに接続するため、クライアントからプロキシへの接続とプロキシからデータベースへの接続の両方が IAM 認証を使用するエンドツーエンドの IAM 認証に移行できます。 **エンドツーエンド IAM 認証に移行するには** 1. **RDS Proxy IAM ロールのアクセス許可を更新する** Secrets Manager と `rds:db-connect` アクセス許可の両方を含む更新されたプロキシアクセス許可ポリシーを作成します。 ``` # Create updated proxy permission policy cat > updated-proxy-policy.json ≪ EOF ``` ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "GetSecretsValue", "Action": [ "secretsmanager:GetSecretValue" ], "Effect": "Allow", "Resource": [ "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-1234f" ] }, { "Sid": "RdsDBConnect", "Action": [ "rds-db:connect" ], "Effect": "Allow", "Resource": [ "arn:aws:rds-db:us-east-1:123456789012:dbuser:cluster-ABCDEFGHIJKL01234/jane_doe" ] } ] } ``` ロールポリシーのプロキシを更新します。 ``` aws iam put-role-policy \ --role-name RDSProxyRole \ --policy-name UpdatedProxyPermissions \ --policy-document file://updated-proxy-policy.json ``` 1. RDS Proxy を変更してエンドツーエンドの IAM 認証を有効にする ``` aws rds modify-db-proxy \ --db-proxy-name my-database-proxy \ --default-auth-scheme IAM_AUTH \ --region us-east-1 ``` 移行中のダウンタイムがゼロであることを確認する前に、RDS Proxy のステータスが **[利用可能]** で、`DefaultAuthScheme` が `IAM_AUTH` であることを確認します。 ``` aws rds describe-db-proxies --db-proxy-name my-database-proxy --region us-east-1 ``` 正常な出力: ``` { "DBProxies": [ { "DBProxyName": "my-database-proxy", "DBProxyArn": "arn:aws:rds:us-east-1:123456789012:db-proxy:prx-0123456789abcdef", "Status": "available", ... "DefaultAuthScheme": "IAM_AUTH" } ] } ``` 1. データベースで IAM 認証を有効にする ``` aws rds modify-db-cluster \ --db-cluster-identifier my-database-cluster \ --enable-iam-database-authentication \ --region us-east-1 ``` 1. IAM 認証用のデータベースユーザーを設定する RDS for PostgreSQL の場合: ``` GRANT rds_iam TO jane_doe; ``` RDS for MariaDB および RDS for MySQL の場合: ``` ALTER USER 'jane_doe' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS'; ALTER USER 'jane_doe'@'%' REQUIRE SSL; ``` 1. クライアントアプリケーションコードを変更する必要はありません。接続プロセスは同じままです。 RDS for PostgreSQL の場合: ``` # Generate authentication token export PGPASSWORD=$(aws rds generate-db-auth-token \ --hostname my-database-proxy.proxy-ABCDEFGHIJKL01234.us-east-1.rds.amazonaws.com \ --port 5432 \ --username jane_doe \ --region us-east-1) # Connect to database through proxy psql "host=my-database-proxy.proxy-ABCDEFGHIJKL01234.us-east-1.rds.amazonaws.com port=5432 user=jane_doe dbname=postgres password=$PGPASSWORD sslmode=require sslrootcert=us-east-1-bundle.pem" ``` RDS for MariaDB および RDS for MySQL の場合: ``` # Generate authentication token export MYSQL_PWD=$(aws rds generate-db-auth-token \ --hostname my-database-proxy.proxy-ABCDEFGHIJKL01234.us-east-1.rds.amazonaws.com \ --port 3306 \ --username jane_doe \ --region us-east-1) # Connect to database through proxy mysql -h my-database-proxy.proxy-ABCDEFGHIJKL01234.us-east-1.rds.amazonaws.com \ -P 3306 \ -u jane_doe \ --ssl-ca=us-east-1-bundle.pem \ --enable-cleartext-plugin ```