AmazonRDS-DBアクセス制御

Amazon RDS DBインスタンスにアクセスするには、ユーザーに特定の権限が必要です。これは、AWS IAM(IDおよびアクセス管理)を使用して設定されます。このチュートリアルでは、この構成がどのように行われるかを確認します。

構成には2つの部分が含まれます。

  • Authentication

  • アクセス制御

これには、ユーザー名、パスワードの作成、およびユーザーのアクセスキーの生成が含まれます。アクセスキーを使用すると、AWSRDSサービスにプログラムでアクセスできます。SDKおよびCLIツールは、アクセスキーを使用して、リクエストで暗号的にサインインします。

IAMロールを使用してユーザーを認証することもできます。ただし、役割は特定のユーザーに関連付けられているわけではなく、任意のユーザーが一時的に役割を引き受けて、必要なタスクを完了することができます。タスクが終了すると、役割を取り消すことができ、ユーザーは認証機能を失います。

ユーザーが認証された後、そのユーザーに添付されたポリシーによって、ユーザーが実行できるタスクのタイプが決まります。以下は、DB EngineMySQLのt2.microインスタンス上にRDSDBインスタンスを作成できるようにするポリシーの例です。

{
    "Version": "2018-09-11",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:og:default*",
                "arn:aws:rds:*:123456789012:pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ],
            "Condition": {
                "StringEquals": {
                    "rds:DatabaseEngine": "mysql",
                    "rds:DatabaseClass": "db.t2.micro"
                }
            }
        }
    ]
}

任意のRDSリソースに対するアクション

以下の例では、任意のRDSリソースに対する任意のdescribeアクションを許可するポリシーを示しています。*記号は、任意のリソースを表すために使用されます。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

DBインスタンスの削除を禁止する

以下のポリシーは、ユーザーが特定のDBインスタンスを削除することを禁止しています。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance"
      }
   ]
}