Amazon Aurora のセキュリティ
Amazon Aurora のセキュリティは次の 3 つのレベルで管理されます。
-
Aurora DB クラスターと DB インスタンスに対する Amazon RDS 管理アクションを実行できるユーザーを制御するには、AWS Identity and Access Management (IAM) を使用します。IAM 認証情報を使用して AWS に接続するとき、AWS アカウントには、Amazon RDS の管理オペレーションを実行するためのアクセス許可を付与する IAM ポリシーが必要です。詳細については、「Amazon Aurora での Identity and Access Management」を参照してください。
IAM を使用して Amazon RDS コンソールにアクセスする場合は、まず、ユーザー認証情報で AWS Management Console にログオンし、次に Amazon RDS コンソール (https://console.aws.amazon.com/rds
) に移動する必要があります。 -
Aurora DB クラスターは、Amazon VPC サービスに基づいて Virtual Private Cloud (VPC) で作成する必要があります。VPC 内の Aurora DB クラスター用の DB インスタンスのエンドポイントとポートに対して接続を開くことができるデバイスと Amazon EC2 インスタンスを制御するには、VPC セキュリティグループを使用します。これらのエンドポイントおよびポートの接続には TLS/SSL (Transport Layer Security/Secure Sockets Layer) を使用できます。さらに、会社のファイアウォールルールでも、社内のいずれのデバイスが DB インスタンスへの接続を開くことができるかを制御できます。VPC の詳細については、「Amazon VPC と Amazon Aurora」を参照してください。
-
Amazon Aurora DB クラスターに対するログインとアクセス権限を認証するには、次の方法のいずれか、または組み合わせて使用します。
-
MySQL または PostgreSQL のスタンドアロン DB インスタンスと同じ方法を使用することもできます。
SQL コマンドの使用やデータベーススキーマテーブルの変更など、MySQL や PostgreSQL のスタンドアロン DB インスタンスのログインとアクセス許可を認証するための技法も、Aurora で使用できます。詳細については、「Amazon Aurora MySQL でのセキュリティ」または「Amazon Aurora PostgreSQL でのセキュリティ」を参照してください。
-
IAM データベース認証を使用できます。
IAM データベース認証を使用する場合は、ユーザーまたは IAM ロールと認証トークンを使用して、Aurora DB クラスターに対して認証を行います。認証トークン は、署名バージョン 4 の署名プロセスを使用して生成されている一意の値です。IAM データベース認証では、同一の認証情報を使用して AWS リソースおよびデータベースへのアクセスを制御できます。詳細については、「 の IAM データベース認証」を参照してください。
-
Aurora PostgreSQL および Aurora MySQL に Kerberos 認証を使用できます。
ユーザーが Aurora PostgreSQL DB および Aurora MySQLDB クラスターに接続する場合、Kerberos を使用してそのユーザーを認証できます。この場合、Kerberos 認証を有効にするために、DB クラスターは AWS Directory Service for Microsoft Active Directory を使用できます。AWS Directory Service for Microsoft Active Directory は AWS Managed Microsoft AD とも呼ばれます。同じディレクトリにすべての認証情報を保持することで時間と労力を節約できます。複数の DB クラスターの認証情報を一元的に保存および管理できます。また、ディレクトリを使用することで、セキュリティプロファイル全体を向上できます。詳細については、Aurora PostgreSQL で Kerberos 認証を使用するおよびAurora MySQL での Kerberos 認証の使用を参照してください。
-
セキュリティ設定の詳細については、「Amazon Aurora でのセキュリティ」を参照してください。
Aurora DB クラスターでの SSL の使用
Amazon Aurora DB クラスターは、アプリケーションからの Secure Sockets Layer (SSL) 接続を、Amazon RDS DB インスタンスと同じプロセスと公開鍵を使用してサポートします。詳細については「Amazon Aurora MySQL でのセキュリティ」、「Amazon Aurora PostgreSQL でのセキュリティ」または「Aurora Serverless v1 での TLS/SSL の使用」を参照してください。