사용자가 자신의 IAM 자격 증명을 사용하여 Amazon RDS MySQL DB 인스턴스에 대해 인증할 수 있도록 하려면 어떻게 해야 하나요?

최종 업데이트 날짜: 2021년 6월 22일

MySQL을 실행하는 Amazon Relational Database Service (Amazon RDS) DB 인스턴스에 연결하려고 합니다. 기본 인증 방법을 사용하는 대신 AWS Identity and Access Management(IAM) 자격 증명을 사용하고 싶습니다. 어떻게 해야 합니까?

간략한 설명

사용자는 IAM 사용자 또는 역할 자격 증명과 인증 토큰을 사용하여 Amazon RDS DB 인스턴스 또는 클러스터에 연결할 수 있습니다. IAM 데이터베이스 인증이 기본 인증 방법보다 안전한 이유는 다음과 같습니다.

  • IAM 데이터베이스 인증 토큰은 AWS 액세스 키를 사용하여 생성됩니다. 데이터베이스 사용자 자격 증명을 저장할 필요가 없습니다.
  • 인증 토큰의 수명은 15분이므로 암호를 재설정하도록 강제할 필요가 없습니다.
  • IAM 데이터베이스 인증에는 SSL(Secure Sockets Layer) 연결이 필요합니다. DB 인스턴스와 주고받는 모든 데이터가 암호화됩니다.
  • 애플리케이션이 Amazon Elastic Compute Cloud (Amazon EC2)에서 실행되는 경우 EC2 인스턴스 프로파일 자격 증명을 사용하여 데이터베이스에 액세스할 수 있습니다. 인스턴스에 데이터베이스 암호를 저장할 필요가 없습니다.

IAM 역할을 사용하여 IAM 데이터베이스 인증을 설정하려면 다음 단계를 따르십시오.

1.    DB 인스턴스에서 IAM DB 인증을 활성화합니다.

2.    AWS 인증 토큰을 사용하는 데이터베이스 사용자 계정을 생성합니다.

3.    데이터베이스 사용자를 IAM 역할에 매핑하는 IAM 정책을 추가합니다.

4.    IAM 역할을 Amazon EC2 인스턴스에 연결합니다.

5.    AWS 인증 토큰을 생성하여 IAM 역할을 식별합니다.

6.    SSL 루트 인증서 파일 또는 인증서 번들 파일을 다운로드합니다.

7.    IAM 역할 자격 증명과 인증 토큰 또는 SSL 인증서를 사용하여 DB 인스턴스에 연결합니다.

해결 방법

시작하기 전에 먼저, IAM 데이터베이스 인증을 지원하는 DB 인스턴스 및 Amazon EC2 인스턴스를 시작하여 데이터베이스에 연결해야 합니다.

RDS DB 인스턴스에서 IAM DB 인증 활성화

Amazon RDS 콘솔, AWS Command Line Interface (AWS CLI) 또는 Amazon RDS API를 사용하여 IAM 데이터베이스 인증을 활성화할 수 있습니다. Amazon RDS 콘솔을 사용하여 DB 인스턴스를 수정한다면 [즉시 적용]을 선택하여 IAM 데이터베이스 인증을 즉시 활성화합니다. IAM 인증을 활성화하려면 잠시 중단해야 합니다. 중단이 필요한 수정 사항에 대한 자세한 내용은 DB 인스턴스 설정을 참조하세요.

참고: [즉시 적용]을 선택하면 대기 중인 모든 수정 사항이 유지 관리 기간에 적용되지 않고 즉시 적용됩니다. 이로 인해 인스턴스 중단 시간이 늘어날 수 있습니다. 자세한 내용은 즉시 적용 설정 사용을 참조하십시오.

AWS 인증 토큰을 사용하는 데이터베이스 사용자 계정 생성

1.    다음 명령을 실행하여 DB 인스턴스 또는 클러스터 엔드포인트에 연결합니다. 마스터 암호를 입력하여 로그인합니다.

$ mysql -h {database or cluster endpoint} -P {port number database is listening on} -u {master db username} -p

2.    암호 대신 AWS 인증 토큰을 사용하는 데이터베이스 사용자 계정을 생성합니다.

CREATE USER {dbusername} IDENTIFIED WITH AWSAuthenticationPlugin as 'RDS';

3.    (선택 사항) 이 명령을 실행하여 사용자에게 SSL을 사용하여 데이터베이스에 연결하도록 요구합니다.

GRANT USAGE ON *.* TO '{dbusername}'@'%' REQUIRE SSL;

4.    exit 명령을 실행하여 MySQL을 닫습니다. 그런 다음, DB 인스턴스에서 로그아웃합니다.

데이터베이스 사용자를 매핑하는 IAM 정책 추가

1.    IAM 콘솔을 엽니다.

2.    탐색 창에서 [정책]을 선택합니다.

3.    [정책 생성]을 선택합니다.

4.    필요한 사용자에게 rds-db:connect 작업을 허용하는 정책을 입력합니다. 이 정책 생성에 대한 자세한 내용은 IAM 데이터베이스 액세스를 위한 IAM 정책 생성 및 사용을 참조하세요.

참고: DB 인스턴스 식별자 및 데이터베이스 사용자 이름과 같은 데이터베이스 리소스의 세부 정보를 사용하여 [리소스] 값을 편집해야 합니다.

5.    [다음: 태그(Next: Tags)]를 선택합니다.

6.    [Next: Review]를 선택합니다.

7.    [이름]에 정책 이름을 입력합니다.

8.    [정책 생성]을 선택합니다.

Amazon RDS 액세스를 허용하는 IAM 역할 생성

1.    IAM 콘솔을 엽니다.

2.    탐색 창에서 [역할]을 선택합니다.

3.    역할 생성(Create Role)을 선택합니다.

4.    [AWS 서비스]를 선택합니다.

5.    [EC2]를 선택합니다.

6.    [사용 사례 선택]에서 [EC2]를 선택한 후 [다음: 권한]을 선택합니다.

7.    검색 창에서, 앞서 ‘데이터베이스 사용자를 매핑하는 IAM 정책 추가’ 섹션에서 생성한 IAM 정책을 찾습니다.

8.    다음: 태그를 선택합니다.

9.    [다음: 검토]를 선택합니다.

10.    [역할 이름]에 이 IAM 역할의 이름을 입력합니다.

11.    [역할 생성]을 선택합니다.

Amazon EC2 인스턴스에 IAM 역할 연결

1.    Amazon EC2 콘솔을 엽니다.

2.    Amazon RDS에 연결하는 데 사용할 EC2 인스턴스를 선택합니다.

3.    새로 만든 IAM 역할을 EC2 인스턴스에 연결합니다.

4.    SSH를 사용하여 EC2 인스턴스에 연결합니다.

AWS 인증 토큰을 생성하여 IAM 역할 식별

Amazon EC2 인스턴스에 연결한 후 다음 AWS CLI 명령을 실행하여 인증 토큰을 생성합니다.

$ aws rds generate-db-auth-token --hostname {db or cluster endpoint} --port 3306 --username {db username}

이 인증 토큰을 복사하여 나중에 사용할 수 있도록 보관합니다. 토큰은 생성 후 15분 이내에 만료됩니다.

참고: AWS Command Line Interface (AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

SSL 루트 인증서 파일 또는 인증서 번들 파일 다운로드

다음 명령을 실행하여 모든 리전에 사용할 수 있는 루트 인증서를 다운로드합니다.

$ wget https://s3.amazonaws.com/rds-downloads/rds-ca-2019-root.pem

IAM 역할 자격 증명과 인증 토큰을 사용하여 RDS DB 인스턴스에 연결

인증서 파일을 다운로드한 후 다음 명령 중 하나를 실행하여 SSL을 통해 DB 인스턴스에 연결합니다.

참고: 애플리케이션에서 인증서 체인을 허용하지 않는 경우 다음 명령을 실행하여 인증서 번들을 다운로드합니다.

$ wget https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem

RDSHOST="rdsmysql.abcdefghijk.us-west-2.rds.amazonaws.com"
TOKEN="$(aws rds generate-db-auth-token --hostname $RDSHOST --port 3306 --region us-west-2 --username {db username})"

사용 중인 인증서(RootCA 또는 번들)에 따라 다음 명령 중 하나를 실행합니다.

RootCA 명령:

mysql --host=$RDSHOST --port=3306 --ssl-ca=/sample_dir/rds-ca-2019-root.pem --enable-cleartext-plugin --user={db username} --password=$TOKEN

번들 명령:

mysql --host=$RDSHOST --port=3306 --ssl-ca=/sample_dir/rds-combined-ca-bundle.pem --enable-cleartext-plugin --user={db username} --password=$TOKEN

참고: MariaDB 클라이언트를 사용하는 경우 --enable-cleartext-plugin 옵션이 필요하지 않습니다.

IAM 역할 자격 증명과 SSL 인증서를 사용하여 RDS DB 인스턴스에 연결

인증서 파일을 다운로드한 후 SSL을 사용하여 DB 인스턴스에 연결합니다. 자세한 내용은 MySQL 데이터베이스 엔진 기반 DB 인스턴스에 연결하기를 참조하세요.