Amazon Aurora でのセキュリティ
AWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。
セキュリティは、AWS とお客様の間の共有責任です。共有責任モデル
-
クラウドのセキュリティ – AWS は、AWS クラウド内で AWS サービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、使用するサービスを安全に提供します。AWS コンプライアンスプログラム
の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon Aurora (Aurora) に適用するコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによる AWS 対象範囲内のサービス 」を参照してください。 -
クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。
このドキュメントは、Amazon Aurora を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために Amazon Aurora を設定する方法を示します。また、Amazon Aurora リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
DB のクラスター上の Amazon Aurora リソースとデータベースへのアクセスを管理できます。アクセスの管理に使用する方法は、ユーザーが Amazon Aurora で実行する必要のあるタスクのタイプによって異なります。
-
Amazon VPC サービスに基づき、Virtual Private Cloud (VPC) 内で DB クラスターを実行して、ネットワークアクセスコントロールを最大限に拡張します。VPC での DB クラスターの作成の詳細については、「Amazon Virtual Private Cloud VPC および Amazon Aurora」を参照してください。
-
AWS Identity and Access Management (IAM) ポリシーを使用して、どのユーザーが Amazon Aurora リソースの管理を許可されるかを決定するアクセス許可を割り当てます。たとえば、IAM を使用して、いずれのユーザーが DB のクラスターの作成、情報入手、変更、削除、リソースのタグ付け、セキュリティグループの変更を許可されるかを決定します。
IAM ユーザーの設定については、「IAM ユーザーを作成する」を参照してください。
-
セキュリティグループを使用して、どの IP アドレスまたは Amazon EC2 インスタンスが DB のクラスター上のデータベースに接続できるかを制御します。DB のクラスターを初めて作成すると、そのインスタンスのファイアウォールにより、関連付けられるセキュリティグループによって指定されたルールに従ったアクセスを除き、データベースへのアクセスはすべて禁止されます。
-
Aurora MySQL または Aurora PostgreSQL を実行している DB クラスターと Secure Socket Layer (SSL) または Transport Layer Security (TLS) の接続を使用します。DB クラスターと SSL/TLS を使用する方法の詳細については、「SSL/TLS を使用した DB クラスターへの接続の暗号化」を参照してください。
-
Amazon Aurora の暗号化を使用して、 DB クラスター、および保管時のスナップショットを保護します。Amazon Aurora の暗号化では、業界標準の AES-256 暗号化アルゴリズムを使用して、サーバー上のデータを暗号化し、DB クラスターをホストします。詳細については、「Amazon Aurora リソースの暗号化」を参照してください。
-
DB エンジンのセキュリティ機能を使用して、DB クラスターのデータベースにログインできるユーザーを制御します。これらの機能は、データベースがローカルネットワーク上にあるかのように動作します。
Aurora MySQL のセキュリティについては、「Amazon Aurora MySQL でのセキュリティ」を参照してください。Aurora PostgreSQL のセキュリティについては、「Amazon Aurora PostgreSQL でのセキュリティ」を参照してください。
Aurora は、マネージド型データベースサービスである Amazon Relational Database Service (Amazon RDS) の一部です。Amazon RDS は、クラウド上でリレーショナルデータベースを簡単に設定、オペレーション、スケーリングできるウェブサービスです。Amazon RDS にまだ慣れていない場合は、Amazon RDS ユーザーガイドを参照してください。
Aurora には、高性能のストレージサブシステムが含まれています。その MySQL および PostgreSQL 互換のデータベースエンジンは、その高速分散ストレージを活用するようにカスタマイズされています。また、Aurora ではデータベースのクラスター化とレプリケーションの自動化と標準化を行います。これは通常、データベース設定と管理の最も困難な側面です。
Amazon RDS と Aurora ではいずれも、プログラムで RDS API にアクセスすることができます。また、AWS CLI を使用して、インタラクティブに RDS API にアクセスすることもできます。一部の RDS API オペレーションと AWS CLI コマンドは、Amazon RDS および Aurora に適用されるのに対し、それ以外は Amazon RDS と Aurora のいずれかにのみ適用されます。RDS API オペレーションについては、Amazon RDS API リファレンスを参照してください。AWS CLI の詳細については、Amazon RDS の AWS Command Line Interface リファレンスを参照してください。
目的のユースケースに対してのみ、セキュリティを設定する必要があります。Amazon Aurora で管理されるプロセス用にセキュリティアクセスを設定する必要はありません。このプロセスには、バックアップの作成、プライマリ DB インスタンスとリードレプリカの間のデータのレプリケートなどがあります。
Amazon Aurora リソースや DB のクラスター上のデータベースに対するアクセスの管理の詳細については、次のトピックを参照してください。
トピック
- Amazon Aurora でのデータベース認証
- Amazon RDS でのデータ保護
- Amazon Aurora での Identity and Access Management
- Amazon Aurora でのログ記録とモニタリング
- Amazon Aurora のコンプライアンス検証
- Amazon Aurora の耐障害性
- Amazon Aurora でのインフラストラクチャセキュリティ
- Amazon Aurora とインターフェイス VPC エンドポイント (AWS PrivateLink)
- Amazon Aurora のセキュリティのベストプラクティス
- セキュリティグループによるアクセスコントロール
- マスターユーザーアカウント特権
- Amazon Aurora のサービスにリンクされたロールの使用
- Amazon Virtual Private Cloud VPC および Amazon Aurora