こんにちは。CX事業本部Delivery部のakkyです。
以前、Amazon Linux 2023でMySQL Clientを使う記事を掲載しました。
多くの方にご覧いただいていますが、この方法で注意していただきたい点として、MySQLはAmazon Linux 2023のリポジトリ外のパッケージとなるため、AWSからのサポートが得られないということがあります。
AWSでは、RDS MySQLへの接続にはMariaDBを使用することをドキュメントで案内しています。
MariaDBは、クライアントプロトコルに関してはMySQLと互換性があることがドキュメントに記載されています。
また、認証プラグインに関しても、クライアント側でSHA-256がサポートされていますので、MySQL8.0への接続も問題ありません。
インストール方法
次のコマンドでインストールできます。
sudo dnf -y install mariadb105RDSインスタンスへの接続
mysqlをmariadbに置き換えて次のコマンドで接続できます。usernameとhostnameを置き換えてください。
mariadb -u username -p -h hostnameSSLを強制していた場合
RDS MySQLで、パラメータグループでrequire_secure_transport=1としている場合、またはユーザーごとの設定をしている場合には、上記コマンドで接続するとエラーになってしまいます。
これは、SSLでの接続がデフォルトでは無効になっているためです。MySQLでは勝手にSSL接続されるためハマりました。
$ mariadb -u admin -p -h XXXXXXXX.ap-northeast-1.rds.amazonaws.com
Enter password:
ERROR 3159 (HY000): Connections using insecure transport are prohibited while --require_secure_transport=ON.エラーが発生した場合には、--sslというオプションを付けて実行してください。
$ mariadb -u admin -p -h XXXXXXXX.ap-northeast-1.rds.amazonaws.com --sslなお、この場合には、サーバ証明書の検証が行われません。
証明書を検証したい場合
証明書を検証したい場合は、まずホームディレクトリに.my.cnfというファイルを作成し、ssl-verify-server-cert=trueとします。
cat << EOF > ~/.my.cnf
[client-mariadb]
ssl=true
ssl-verify-server-cert=true
EOF次にRDSのCA証明書をダウンロードしてインストールします。
sudo curl -O --output-dir /etc/pki/ca-trust/source/anchors/ https://truststore.pki.rds.amazonaws.com/global/global-bundle.pem
sudo update-ca-trustこの操作を行えば、--sslを指定しなくてもSSLが使用され、証明書が検証されます。
$ mariadb -u admin -p -h XXXXXXXX.ap-northeast-1.rds.amazonaws.com以上
0
