ssmonline #43 での発表資料です。 (運用設計ラボ合同会社 波田野裕一)
ssmonline #43 での発表資料です。 (運用設計ラボ合同会社 波田野裕一)
IAM認証用ユーザの作成 RDSインスタンスが作成出来たら、次の作業を行います。 マスターユーザでRDSに接続 IAM認証用のユーザ作成 まず、RDSに接続できるEC2にアクセスします。対象のEC2のAWS CLIをアップデートしておきます。 $ sudo pip install -U awscli $ aws --version aws-cli/1.11.81 Python/2.7.12 Linux/4.4.41-36.55.amzn1.x86_64 botocore/1.5.44 RDS for MySQLに接続します。 $ mysql -h iamtest.xxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com -u mymaster -p Enter password: Welcome to the MySQL monitor. Commands
Aurora MySQLでIAM認証を検証したので、備忘録を兼ねて諸々メモ。 AuroraのIAM認証とは? DBユーザーに、個別のパスワード入力の代わりにIAMクレデンシャルで認証する機能。 DBごと、ユーザーごとのパスワード管理が不要になる。 スロットルのリスクがあるためアプリケーションの認証には不向きだが、運用に伴う人による認証については一考の価値がある。 Aurora側での設定 クラスターでIAM認証を有効化しておく。マネジメントコンソールでいうと、インスタンス設定(≠クラスター設定)の以下が該当設定。 データベースで、IAM認証を有効にしたDBユーザーを作成する。IAM認証は、あくまでこのDBユーザーに対して、AWSプロファイルのIAMクレデンシャルでログインする行為であって、DBユーザーがないと機能しない点に注意。 踏み台インスタンスでの設定 DB接続用のmysqlクライアント
動機 AuroraDBのIAM認証にかなりハマったのでその体験を共有しておこうと思います。とても長くなったので先に結論を書いておきますね。 Node.js SDK + IAM Roleの組み合わせの問題 →ドキュメントにひっそり書いてある IAM認証は実はアプリケーションからの接続にはあまり向いていない →ドキュメントにひっそり書いてある AuroraDBのIAM認証とは何か 丸投げで恐縮ですが下記のようなものです。 MySQLへの接続時にパスワードを用いない認証手段 アプリケーションの設定ファイルなどにDBのパスワードを書かなくていい EC2インスタンス、ECSタスク、Lambdaファンクションなどにひも付けたIAMロールに権限を与えることでDBにコネクトできる 何が嬉しいのかというと前述通りDBのパスワードを管理しなくて良いことです。 DBのパスワードの扱いは何かと気を使うものです。プ
ユーザーまたはロールに DB インスタンスへの接続を許可するには、IAM ポリシーを作成する必要があります。その後、ポリシーをアクセス許可セットまたはロールにアタッチします。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く