# AWS RDS for MySQL

![](/files/NTjHZ2EpeTqv2OSdXsB0)

## 概要 <a href="#overview" id="overview"></a>

本ページでは、Keeperローテーションを使用してAWS環境のMySQLユーザーおよび管理者アカウントをローテーションする方法を取り扱います。RDS for MySQLはAWSのマネージドリソースで、MySQLの管理者認証情報は**PAMデータベース**レコードタイプで定義され、MySQLユーザーの構成は**PAMユーザー**レコードタイプで定義されます。

Amazon RDSでは、AWS SDKを使用してデータベース管理者アカウントのパスワードがローテーションされます。通常のデータベースユーザーのパスワードがローテーションされる場合、指定された管理者認証情報を使用してDBインスタンスに接続し、パスワード変更に必要なSQLステートメントが実行されます。

## 要件 <a href="#prerequisites" id="prerequisites"></a>

以下がすでに完了していることを前提としています。

* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md#enabling-rotation-on-the-admin-console)でKeeperシークレットマネージャーが有効になっていること
* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md#enabling-rotation-on-the-admin-console)でKeeperローテーションが有効になっていること
* Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)が作成済みであること
* Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がインストール済みで稼働しており、AWS MySQLデータベースと通信できること
* AWS環境がKeeperのドキュメントに従って[設定](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup.md)されていること

## 1. PAMデータベースレコードの設定 <a href="#id-1-set-up-pam-database-records" id="id-1-set-up-pam-database-records"></a>

**PAMデータベース**レコードには、AWS上のMySQL RDSインスタンスに接続するための管理者認証情報と必要な構成が含まれます。Keeperローテーションでは、これらの構成を使用して、MySQL RDSインスタンス内の通常データベースユーザーアカウントのパスワードがローテーションされます。管理者認証情報には、データベースユーザーアカウントの認証情報を正常に変更するための十分なデータベース権限が必要です。

**PAMデータベース**レコードの**必須**フィールドは以下のとおりです。

<table><thead><tr><th width="194.5">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>Keeperレコードのタイトル。例: <code>AWS MySQL Admin</code></td></tr><tr><td><strong>ホスト名またはIPアドレス</strong></td><td>RDSエンドポイント。例: <code>rdsdb.ckivswes.us-east-2.rds.amazonaws.com</code></td></tr><tr><td><strong>ポート</strong></td><td>RDSポート。デフォルトポートは[ポートマッピング](../../../../references/port-mapping.md)をご参照。<br>例: <code>3306</code></td></tr><tr><td><strong>SSLの使用</strong></td><td>データベースにSSLが設定されている場合、接続前にSSL検証を行うには有効にしてください</td></tr><tr><td><strong>ログイン</strong></td><td>ローテーションを実行する管理者アカウントのユーザー名</td></tr><tr><td><strong>パスワード</strong></td><td>管理者アカウントのパスワード</td></tr><tr><td><strong>データベースID</strong></td><td>AWS DBインスタンスID</td></tr><tr><td><strong>データベースタイプ</strong></td><td><code>mysql</code></td></tr><tr><td><strong>プロバイダリージョン</strong></td><td>Amazon RDSインスタンスのリージョン。例: <code>us-east-2</code></td></tr></tbody></table>

{% hint style="info" %}
プロバイダリージョンとデータベースIDを追加すると、SDKを使用して**PAMデータベース**レコードを管理できるようになります。
{% endhint %}

管理者認証情報を含むこの**PAMデータベース**レコードは、要件で作成したKSMアプリケーションに共有されている共有フォルダ内に配置する必要があります。この特権アカウントへのアクセスはKSMアプリケーションのみに必要であり、ユーザーと共有する必要はありません。

## 2. PAM構成の設定 <a href="#managed-directory-services" id="managed-directory-services"></a>

{% hint style="info" icon="pencil-line" %}
環境にPAM構成がすでにある場合は、この手順を省略できます。
{% endhint %}

新しい**PAM構成**を作成する場合は、Keeperボルトにログインし、左メニューから **\[シークレットマネージャー]** を選択し、**\[PAM構成]** タブで **\[新規構成]** をクリックします。

**PAM構成**レコードの必須フィールドは以下のとおりです。

<table><thead><tr><th width="193">フィールド</th><th>説明</th><th data-hidden></th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>構成名。例: <code>AWS RDS Configuration</code></td><td></td></tr><tr><td><strong>環境</strong></td><td><code>AWS</code> を選択</td><td></td></tr><tr><td><strong>ゲートウェイ</strong></td><td>Keeperシークレットマネージャーアプリケーションに設定され、MySQL RDSインスタンスへネットワークアクセスできるゲートウェイを選択</td><td></td></tr><tr><td><strong>アプリケーションフォルダ</strong></td><td>PAM構成を格納する共有フォルダを選択。データベースではなく、管理者アカウントと同じ共有フォルダへの配置を推奨</td><td></td></tr><tr><td><strong>AWS ID</strong></td><td>このAWSインスタンスの固有ID。参考用のため任意の値を指定可能。短くすることを推奨。<br>例: <code>AWS-1</code></td><td></td></tr><tr><td><strong>アクセスキーID</strong></td><td>EC2ロールポリシーを使用する場合 (デフォルト) は <code>USE_INSTANCE_ROLE</code> を設定。それ以外の場合は特定のアクセスキーIDを使用</td><td></td></tr><tr><td><strong>シークレットアクセスキー</strong></td><td>EC2ロールポリシーを使用する場合 (デフォルト) は <code>USE_INSTANCE_ROLE</code> を設定。それ以外の場合は特定のシークレットアクセスキーを使用</td><td></td></tr></tbody></table>

**PAM構成**レコードで設定可能なすべてのフィールドの詳細については、こちらの[ページ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)をご参照ください。

## 3. PAMユーザーレコードの設定 <a href="#id-3-set-up-pam-user-records" id="id-3-set-up-pam-user-records"></a>

Keeperローテーションでは、**PAMデータベース**レコードの認証情報を使用して、AWS環境の**PAMユーザー**レコードがローテーションされます。**PAMユーザー**認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダ内に配置する必要があります。

**PAMユーザー**レコードの必須フィールドは以下のとおりです。

<table><thead><tr><th width="205.5">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>Keeperレコードのタイトル。例: <code>AWS DB User 1</code></td></tr><tr><td><strong>ログイン</strong></td><td>ローテーション対象アカウントのユーザー名（大文字と小文字を区別）。DBユーザーテーブルのホストが % 以外の場合は、ユーザー名にホスト値を <code>USERNAME@HOST</code> 形式で追加</td></tr><tr><td><strong>パスワード</strong></td><td>アカウントパスワードはオプション。空白の場合はローテーション時に設定されます</td></tr></tbody></table>

## 4. PAMユーザーレコードでローテーションを構成 <a href="#id-4-configure-rotation-on-the-pam-user-records" id="id-4-configure-rotation-on-the-pam-user-records"></a>

手順3の**PAMユーザー**レコードを選択し、編集して **\[パスワードローテーション設定]** を開きます。

* 希望するスケジュールとパスワードの複雑さを選択
* **\[ローテーション設定]** では、以前に設定した**PAM構成**を使用
* **\[リソースクレデンシャル]** フィールドでは、手順1で設定した**PAMデータベース**認証情報を選択
* 保存すると、ローテーションボタンが有効になり、オンデマンドまたは選択したスケジュールでローテーション可能

**PAMユーザー**レコードに `edit` 権限を持つユーザーは、そのレコードのローテーションを設定できます。


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/aws/managed-database/aws-rds-for-mysql.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.