# AWS RDS for MySQL

## 概要本ページでは、Keeperローテーションを使用して、AWS環境でAWS MySQLデータベースのユーザーアカウントと管理者アカウントのパスワードをローテーションする方法について取り扱います。RDS for MySQLはAWSのマネージドリソースで、MySQLの管理者認証情報が**PAMデータベース**レコードタイプで定義され、MySQLユーザーの構成が**PAMユーザー**レコードタイプで定義されます。 Amazon RDSでは、AWS SDKを使用してデータベース管理者アカウントのパスワードをローテーションします。通常のデータベースユーザーのパスワードをローテーションするために、Keeperは指定された管理者認証情報を使用してDBインスタンスに接続し、パスワードの変更に必要なSQLステートメントを実行します。AWS環境でのローテーションプロセスの概要については、こちらの[ページ](https://docs.keeper.io/keeperpam/privileged-access-manager/password-rotation/rotation-use-cases/aws)をご参照ください。 ## 要件本ページでは、以下がすでに実行されていることを前提としています。 * Keeperシークレットマネージャーがご利用の[ロール](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-overview)に対して有効になっていること * Keeperローテーションがご利用の[ロール](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-overview)に対して有効になっていること * Keeperシークレットマネージャー[アプリケーション](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/applications)が作成済みであること * Keeperローテーション[ゲートウェイ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/gateways)がすでにインストールされて動作しており、AWS MySQLデータベースと通信できること * AWS環境がKeeperのドキュメントに従って[設定](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup)されていること ## 1. PAMデータベースレコードを設定 **PAMデータベース**レコードには、管理者認証情報と、AWSのMySQL RDSインスタンスに接続するために必要な構成が含まれています。Keeperローテーションは、これらの設定を使用して、MySQL RDSインスタンスの通常のデータベースユーザーアカウントのパスワードをローテーションします。これらの管理者認証情報には、データベースユーザーアカウントの認証情報を正常に変更するための十分なデータベースアクセス権も必要です。以下は、**PAMデータベース**レコードの**必須**フィールドとなります。

フィールド	説明
タイトル	Keeperレコードの名前 (`AWS MySQL Admin`など)
ホスト名またはIPアドレス	RDSエンドポイント (`rdsdb.ckivswes.us-east-2.rds.amazonaws.com`など)
ポート	RDSポート、デフォルトポートはポートマッピングを参照 (`3306`など)
SSLの使用	データベースにSSLが設定されている場合は、接続する前にSSL検証を実行します
ログイン	ローテーションを実行する管理者アカウントのユーザー名
パスワード	管理者アカウントのパスワード
データベースID	AWS DBインスタンスID
データベースタイプ	`mysql`
プロバイダリージョン	Amazon RDSインスタンスが使用しているリージョン (`us-east-2`など)

備考: プロバイダリージョン、データベースIDを追加すると、SDKを使用してPAMデータベースレコードを管理できるようになります。管理者認証情報がリンクされたこのPAMデータベースレコードは、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。 ## 2. PAM構成を設定注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。新しい**PAM構成**を作成する場合は、Keeperボルトにログインし、左側のメニューから **\[シークレットマネージャー]**、**\[PAM構成]** タブの順に選択して、**\[新規構成]** をクリックします。以下は、**PAM構成**レコードの必須フィールドとなります。

フィールド	説明
タイトル	設定名 (`AWS RDS Configuration`など)
環境	`AWS`を選択
ゲートウェイ	Keeperシークレットマネージャーアプリケーションで構成され、MySQL RDSインスタンスにネットワークでアクセスできるゲートウェイを選択します。
アプリケーションフォルダ	PAM構成を含む共有フォルダを選択します。データベースではなく、管理者アカウント用の共有フォルダ内に配置することを推奨します。
AWS ID	このAWSインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします。 (`AWS-1`など)
アクセスキーID	EC2ロールポリシーを使用している場合 (デフォルト) は、このフィールドを`USE_INSTANCE_ROLE`に設定します。使用していない場合は、特定のアクセスキーIDを使用します。
シークレットアクセスキー	EC2ロールポリシーを使用している場合 (デフォルト) は、このフィールドを`USE_INSTANCE_ROLE`に設定します。使用していない場合は、特定のシークレットアクセスキーを使用します。

PAM構成レコードで構成できるすべてのフィールドの詳細については、こちらの[ページ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/pam-configuration)をご参照ください。 ## 3. PAMユーザーレコードを設定 Keeperローテーションにより、**PAMデータベース**レコードの認証情報を使用して、AWS環境の**PAMユーザー**レコードをローテーションします。**PAMユーザー**の認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。以下は、**PAMユーザー**レコードの必須フィールドとなります。

フィールド	説明
タイトル	Keeperレコードの名前 (`AWS DB User 1`など)
ログイン	ローテーションするアカウントのユーザー名 (大文字と小文字の区別あり)。DBユーザーテーブルのユーザーのホストが%以外の場合は、`USERNAME@HOST`のようにユーザー名にホストの値を追加します。
パスワード	アカウントパスワードはオプションです。空白の場合はローテーションで設定されます。

## 4. PAMユーザーレコードでローテーションを構成手順3の**PAMユーザー**レコードを選択し、編集して**\[パスワードローテーション設定]**を開きます。 * 適切なスケジュールとパスワードの複雑さを選択します。 * **\[ローテーション設定]**では、以前に設定した**PAM構成**を使用する必要があります。 * **\[リソースクレデンシャル]**フィールドで、手順1で設定された**PAMデータベース**認証情報を選択する必要があります。 * 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールに基づいてローテーションできるようになります。 **PAMユーザー**のレコードに対する`edit`権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。