# IAM 데이터베이스 인증의 활성화 및 비활성화
<a name="UsingWithRDS.IAMDBAuth.Enabling"></a>

DB 인스턴스에서는 기본적으로 IAM 데이터베이스 인증이 비활성화되어 있습니다. IAM 데이터베이스 인증은 AWS Management Console, AWS CLI 또는 API를 사용하여 활성화하거나 비활성화할 수 있습니다.

다음 작업 중 하나를 수행할 때 IAM 데이터베이스 인증을 활성화할 수 있습니다.
+ IAM 데이터베이스 인증이 활성화된 새 DB 인스턴스를 생성하려면 [Amazon RDS DB 인스턴스 생성](USER_CreateDBInstance.md) 섹션을 참조하세요.
+ IAM 데이터베이스 인증을 사용하도록 DB 인스턴스를 수정하려면 [Amazon RDS DB 인스턴스 수정](Overview.DBInstance.Modifying.md) 섹션을 참조하세요.
+ IAM 데이터베이스 인증이 활성화된 스냅샷에서 DB 인스턴스를 복원하려면 [DB 인스턴스 복원](USER_RestoreFromSnapshot.md) 섹션을 참조하세요.
+ IAM 데이터베이스 인증이 사용 설정된 시점으로 DB 인스턴스를 복원하려면 [Amazon RDS에서 DB 인스턴스를 지정된 시간으로 복원](USER_PIT.md) 섹션을 참조하세요.

## 콘솔
<a name="UsingWithRDS.IAMDBAuth.Enabling.Console"></a>

각 생성 또는 수정 워크플로에는 IAM 데이터베이스 인증을 활성화하거나 비활성화할 수 있는 **데이터베이스 인증(Database authentication)** 섹션이 있습니다. 이 섹션에서 **암호 및 IAM 데이터베이스 인증(Password and IAM database authentication)**을 선택하여 IAM 데이터베이스 인증을 활성화합니다.

**기존 DB 인스턴스에서 IAM 데이터베이스 인증을 활성화하거나 비활성화하려면**

1. [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)에서 Amazon RDS 콘솔을 엽니다.

1. 탐색 창에서 **데이터베이스**를 선택합니다.

1. 수정하려는 DB 인스턴스를 선택합니다.
**참고**  
 DB 인스턴스가 IAM 인증과 호환되는지 확인합니다. 호환성 요구 사항은 [리전 및 버전 사용 가능 여부](UsingWithRDS.IAMDBAuth.md#UsingWithRDS.IAMDBAuth.Availability) 섹션을 참조하십시오.

1. **수정**을 선택합니다.

1. **데이터베이스 인증** 섹션에서 **암호 및 IAM 데이터베이스 인증** 을 선택하여 IAM 데이터베이스 인증을 활성화합니다. **암호 인증** 또는 **암호 및 Kerberos 인증**을 선택하여 IAM 인증을 비활성화합니다.

1. 또한 CloudWatch Logs에 IAM DB 인증 로그 게시를 사용하도록 선택할 수 있습니다. **로그 내보내기**에서 **iam-db-auth-error 로그** 옵션을 선택합니다. CloudWatch Logs에 로그를 게시하면 스토리지가 사용되며 해당 스토리지에 대한 요금이 부과됩니다. 더 이상 필요하지 않은 CloudWatch Logs는 삭제해야 합니다.

1. [**Continue**]를 선택합니다.

1. 변경 사항을 즉시 적용하려면 **수정 예약(Scheduling of modifications)** 섹션에서 **즉시(Immediately)**를 선택합니다.

1. **DB 인스턴스 수정** 을 선택합니다.

## AWS CLI
<a name="UsingWithRDS.IAMDBAuth.Enabling.CLI"></a>

AWS CLI를 사용하여 새로운 DB 인스턴스를 IAM 인증 방식으로 생성하려면 [https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) 명령을 사용하십시오. 다음 예제와 같이 `--enable-iam-database-authentication` 옵션을 지정합니다.

```
aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --db-instance-class db.m3.medium \
    --engine MySQL \
    --allocated-storage 20 \
    --master-username masterawsuser \
    --manage-master-user-password \
    --enable-iam-database-authentication
```

기존 DB 인스턴스를 업데이트하여 IAM 인증을 사용하게 하거나 사용하지 않게 하려면 AWS CLI 명령 [https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)를 사용합니다. 상황에 따라 `--enable-iam-database-authentication` 또는 `--no-enable-iam-database-authentication` 옵션을 지정합니다.

**참고**  
 DB 인스턴스가 IAM 인증과 호환되는지 확인합니다. 호환성 요구 사항은 [리전 및 버전 사용 가능 여부](UsingWithRDS.IAMDBAuth.md#UsingWithRDS.IAMDBAuth.Availability) 섹션을 참조하십시오.

기본적으로 Amazon RDS는 다음 유지 관리 기간에 수정 작업을 수행합니다. 이러한 기본 설정을 무시하고 IAM DB 인증을 최대한 빠르게 활성화하려면 `--apply-immediately` 파라미터를 사용합니다.

다음은 기존 DB 인스턴스일 때 IAM 인증을 바로 활성화하는 방법을 설명한 예제입니다.

```
aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --apply-immediately \
    --enable-iam-database-authentication
```

DB 인스턴스를 복원하는 경우에는 다음 AWS CLI 명령 중 하나를 사용하십시오.
+ `[restore-db-instance-to-point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html)`
+ `[restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html)`

IAM 데이터베이스 인증은 기본적으로 원본 스냅샷으로 기본 설정됩니다. 이 설정을 변경하려면 상황에 따라 `--enable-iam-database-authentication` 또는 `--no-enable-iam-database-authentication` 옵션을 설정합니다.

## RDS API
<a name="UsingWithRDS.IAMDBAuth.Enabling.API"></a>

API를 사용하여 새로운 DB 인스턴스를 IAM 인증 방식으로 생성하려면 API 작업 [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)를 사용하십시오. `EnableIAMDatabaseAuthentication` 파라미터를 `true`로 설정합니다.

기존 DB 인스턴스를 업데이트하여 IAM 인증을 사용하게 하거나 사용하지 않게 하려면 API 작업 [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html)를 사용합니다. `EnableIAMDatabaseAuthentication` 파라미터를 `true`로 설정하여 IAM 인증을 활성화하거나, `false`로 설정하여 비활성화합니다.

**참고**  
 DB 인스턴스가 IAM 인증과 호환되는지 확인합니다. 호환성 요구 사항은 [리전 및 버전 사용 가능 여부](UsingWithRDS.IAMDBAuth.md#UsingWithRDS.IAMDBAuth.Availability) 섹션을 참조하십시오.

DB 인스턴스를 복원하는 경우에는 다음 API 작업 중 하나를 사용하십시오.
+ [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html)
+  [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html)

IAM 데이터베이스 인증은 기본적으로 원본 스냅샷으로 기본 설정됩니다. 이 설정을 변경하려면 `EnableIAMDatabaseAuthentication` 파라미터를 `true`로 설정하여 IAM 인증을 활성화하거나, 혹은 `false`로 설정하여 비활성화합니다.