メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

Amazon RDS でのセキュリティ

DB インスタンス上の Amazon Relational Database Service (Amazon RDS) リソースとデータベースへのアクセスを管理できます。アクセスの管理に使用する方法は、ユーザーが Amazon RDS で実行する必要のあるタスクのタイプによって異なります。

  • Amazon Virtual Private Cloud (VPC) 内で DB インスタンスを実行して、ネットワークアクセスコントロールを最大限に拡張します。VPC での DB インスタンスの作成の詳細については、「Amazon Virtual Private Cloud (VPC) での Amazon RDS の使用」を参照してください。

  • AWS Identity and Access Management (IAM) ポリシーを使用して、どのユーザーが RDS リソースの管理を許可されるかを決定するアクセス権限を割り当てます。たとえば、IAM を使用して、いずれのユーザーが DB インスタンスの作成、情報入手、変更、削除、リソースのタグ付け、DB セキュリティグループの変更を許可されるかを決定します。IAM ユーザーの設定については、「IAM ユーザーを作成する」を参照してください。

  • セキュリティグループを使用して、どの IP アドレスまたは EC2 インスタンスが DB インスタンス上のデータベースに接続できるかを制御します。DB インスタンスを初めて作成すると、そのインスタンスのファイアウォールにより、関連付けられるセキュリティグループによって指定されたルールに従ったアクセスを除き、データベースへのアクセスはすべて禁止されます。

  • MySQL、Amazon Aurora、MariaDB、PostgreSQL、Oracle、または Microsoft SQL Server のデータベースエンジンを実行する DB インスタンスには Secure Socket Layer (SSL) で接続します。DB インスタンスでの SSL の使用の詳細については、「SSL を使用した DB インスタンスへの接続の暗号化」を参照してください。

  • 保管時の RDS インスタンスとスナップショットを保護するには、RDS の暗号化を使用します。RDS の暗号化では、RDS インスタンスをホストしているサーバーでデータを暗号化するために、業界標準の AES-256 暗号化アルゴリズムを使用します。詳細については、「Amazon RDS リソースの暗号化」を参照してください。

  • Oracle DB インスタンスではネットワーク暗号化と Transparent Data Encryption を使用します。詳細については、「Oracle ネイティブネットワーク暗号化」と「Oracle Transparent Data Encryption」を参照してください。

  • DB エンジンのセキュリティ機能を使用して、いずれのユーザーが DB インスタンス上のデータベースにログインできるかを、そのデータベースがローカルネットワークにあるかのように制御します。

注記

目的のユースケースに対してのみ、セキュリティを設定する必要があります。バックアップの作成やマスターとリードのレプリカ間の複製など、Amazon RDS によって管理されるプロセスに対して、セキュリティを設定する必要はありません。

関連トピック

このページの内容: