3. 보안 및 인증 통합
Amazon RDS Proxy는 자격 증명 관리를 위해 AWS Secrets Manager와 AWS IAM을 인증에 통합하여 데이터베이스 보안을 크게 향상시킵니다.
3.1. Secrets Manager를 통한 중앙 집중식 자격 증명 관리
애플리케이션에 데이터베이스 자격 증명을 하드코딩하는 대신 AWS Secrets Manager에 안전하게 저장할 수 있습니다. RDS Proxy는 애플리케이션을 대신하여 이러한 자격 증명을 검색하므로 애플리케이션이 민감한 정보를 직접 처리할 필요가 없습니다.
// Secrets Manager에 자격 증명 저장을 위한 의사 코드
// Secret Name: rds-proxy-credentials
// Secret Value: {"username": "myuser", "password": "MyStrongPassword"}3.2. 데이터베이스 액세스를 위한 IAM 인증
RDS Proxy를 사용하면 기존 사용자 이름/암호 자격 증명 대신 AWS IAM 역할 및 사용자를 사용하여 데이터베이스에 인증할 수 있습니다. 이는 보다 세분화되고 안전한 액세스 제어 메커니즘을 제공합니다.
애플리케이션이 프록시에 연결할 때 임시 IAM 자격 증명을 제공할 수 있습니다. 그러면 프록시는 이러한 자격 증명을 IAM으로 인증하고 데이터베이스에 대한 연결을 허용합니다.
// RDS Proxy를 통해 연결하기 위한 애플리케이션용 IAM 정책 예시
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds-db:connect"
],
"Resource": [
"arn:aws:rds-db:us-east-1:123456789012:db-user:prx-ABCDEFGHIJKLMN/myuser"
]
}
]
}이점: 이 접근 방식은 자격 증명 관리를 중앙 집중화하고, 최소 권한 액세스를 적용하며, 애플리케이션 다운타임 없이 자격 증명 교체를 가능하게 합니다.