はじめに
こんにちは、 ネクストモード株式会社 の奥野です。
今回は、KeeperPAMを使って、AWS上のAmazon RDS(MySQL)へリモート接続するための設定手順についてまとめます。
セキュアな環境を保つためにプライベートサブネットに配置するデータベースですが、「運用時にいかに手間なく、かつ安全にアクセスできるか?」はインフラ担当者にとって重要なポイントかと思います。
本記事では、ゲートウェイを経由してプライベートなRDSへ安全に接続し、KeeperPAMの画面上から「起動」ボタン一つでDBログインを完結させるまでの流れを紹介したいと思います。
PAMの概要については下記ブログをご参照ください。
また、KeeperPAMの導入方法や、LinuxサーバーへのSSH接続方法については下記ブログをご参照ください。
設定してみた
PAMユーザーレコードの作成
まずは、DBにログインするための認証情報を登録します。ここでは接続に使用するユーザー名と、パスワードを保管します。
- 「マイボトル」から新規レコードを作成します。
- レコードタイプは PAMユーザー を選択します。
- タイトルには、後から見て分かりやすい名前を入力します。
- RDSのログインユーザーとパスワードを入力し、レコードを保存します。
PAMマシンレコードの作成
次に、接続先となるRDS(MySQL)を「リソース」として登録します。
- 新規レコードを作成します。
- レコードタイプは PAMデータベース を選択します。
- タイトルには接続先が分かる名前を入力し「次へ」を選択します。
- 「ホスト名またはIPアドレス」欄に RDSのエンドポイント を入力します。
- 「接続用認証情報」を選択します。
- PAMの設定が面が表示されたら、対象となる構成を選択します。
- プロトコルは、今回使用するRDSはMySQLで起動していますので「MySQL」を選択します。
- 接続用認証情報では先程作成したPAMユーザーレコードを選択します。あとはレコードを保存して終了です。
接続確認
レコードが作成できたら、レコード上の 「起動」 ボタンをクリックします。KeeperPAM経由でRDS(MySQL)への接続が開始されます。
ターミナルが表示され、SQLコマンドが実行できます。
「show database」コマンドを実行してみると、事前に作成しておいた「test_db」が確認できました。
さいごに
KeeperPAMでは、ゲートウェイ経由でプライベートなデータベースにも安全に接続できるようになります。このように、KeeperPAMを導入することで、管理者は機密性の高いデータベースをインターネットに公開することなく、エンジニアに対して「必要な時に、必要な分だけ」のアクセス権限を安全に提供できるようになります。ぜひ、KeeperPAMの利用を検討してみてはいかがでしょうか !次回は、KeeperDBをご紹介したいと思います。
