Amazon Aurora でのセキュリティ
AWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。
セキュリティは、AWS と顧客の間の責任共有です。責任共有モデル
-
クラウドのセキュリティ - AWS は、AWS クラウドで AWS のサービスを実行するインフラストラクチャを保護する責任を負います。また、AWS は、使用するサービスを安全に提供します。AWS コンプライアンスプログラム
の一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon Aurora (Aurora) に適用するコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによる AWS 対象範囲内のサービス 」を参照してください。 -
クラウド内のセキュリティ - お客様の責任は、使用する AWS のサービスに応じて異なります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。
このドキュメントは、Amazon Aurora を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために Amazon Aurora を設定する方法を示します。また Amazon Aurora リソースのモニタリングやセキュリティ確保に役立つ他の AWS サービスの使用方法についても確認頂けます。
DB のクラスター上の Amazon Aurora リソースとデータベースへのアクセスを管理できます。アクセスの管理に使用する方法は、ユーザーが Amazon Aurora で実行する必要のあるタスクのタイプによって異なります。
Amazon VPC サービスに基づき、Virtual Private Cloud (VPC) 内で DB クラスターを実行して、ネットワークアクセス制御を最大限に拡張します。VPC での DB クラスターの作成の詳細については、「Amazon VPC VPC とAmazon Aurora」を参照してください。
AWS Identity and Access Management (IAM) ポリシーを使用して、どのユーザーが Amazon Aurora リソースの管理を許可されるかを決定するアクセス許可を割り当てます。例えば、IAM を使用して、いずれのユーザーが DB のクラスターの作成、情報入手、変更、削除、リソースのタグ付け、セキュリティグループの変更を許可されるかを決定します。
IAM ポリシーの例を確認するには、「Amazon Aurora のアイデンティティベースのポリシーの例」を参照してください。
セキュリティグループを使用して、どの IP アドレスまたは Amazon EC2 インスタンスが DB のクラスター上のデータベースに接続できるかを制御します。DB のクラスターを初めて作成すると、そのインスタンスのファイアウォールにより、関連付けられるセキュリティグループによって指定されたルールに従ったアクセスを除き、データベースへのアクセスはすべて禁止されます。
Aurora MySQL または Aurora PostgreSQL を実行している DB クラスターと Secure Socket Layer (SSL) または Transport Layer Security (TLS) の接続を使用します。DB クラスターと SSL/TLS を使用する方法の詳細については、「SSL/TLS を使用した DB クラスターへの接続の暗号化」を参照してください。
-
Amazon Aurora 暗号化を使用して、DB クラスターおよび保管時のスナップショットのセキュリティを確保します。Amazon Aurora 暗号化は、業界スタンダードの AES-256 暗号化アルゴリズムを使用して、DB クラスターをホストしているサーバーでデータを暗号化します。詳細については、「Amazon Aurora リソースの暗号化」を参照してください。
DB エンジンのセキュリティ機能を使用して、DB クラスターのデータベースにログインできるユーザーを制御します。これらの機能は、データベースがローカルネットワーク上にあるかのように動作します。
Aurora MySQL のセキュリティについては、「Amazon Aurora MySQL でのセキュリティ」を参照してください。Aurora PostgreSQL のセキュリティについては、「Amazon Aurora PostgreSQL でのセキュリティ」を参照してください。
Aurora は、マネージド型データベースサービスである Amazon Relational Database Service (Amazon RDS) の一部です。Amazon RDS は、クラウドでリレーショナルデータベースを簡単に設定、運用、および拡張することができるウェブサービスです。Amazon RDS にまだ慣れていない場合は、Amazon RDS ユーザーガイドを参照してください。
Aurora には、高性能のストレージサブシステムが含まれています。MySQL と PostgreSQL との互換性のあるデータベースエンジンは、その高速分散ストレージを利用するようにカスタマイズされています。また、Aurora はデータベースのクラスター化とレプリケーションを自動化しスタンダード化します。通常、これらはデータベースの設定と管理に伴う最も困難な作業に属します。
Amazon RDS と Aurora ではいずれも、プログラムで RDS API にアクセスすることができます。また、AWS CLI を使用して、インタラクティブに RDS API にアクセスすることもできます。一部の RDS API オペレーションと AWS CLI コマンドは、Amazon RDS および Aurora に適用されるのに対し、それ以外は Amazon RDS と Aurora のいずれかにのみ適用されます。RDS API オペレーションについては、Amazon RDS API リファレンスを参照してください。AWS CLI の詳細については、「Amazon RDS の AWS Command Line Interface リファレンス」を参照してください。
注記
目的のユースケースに対してのみ、セキュリティを設定する必要があります。Amazon Aurora で管理されるプロセス用にセキュリティアクセスを設定する必要はありません。このプロセスには、バックアップの作成、自動フェイルオーバーなどがあります。
Amazon Aurora リソースや DB クラスター上のデータベースに対するアクセスの管理の詳細については、以下のトピックを参照してください。
トピック
- Amazon Aurora でのデータベース認証
- Amazon Aurora および AWS Secrets Manager によるパスワード管理
- Amazon RDS でのデータ保護
- Amazon Aurora での Identity and Access Management
- Amazon Aurora でのログ記録とモニタリング
- Amazon Aurora のコンプライアンス検証
- Amazon Aurora の耐障害性
- Amazon Aurora でのインフラストラクチャセキュリティ
- Amazon RDS API とインターフェイス VPC エンドポイント (AWS PrivateLink)
- Amazon Aurora のセキュリティのベストプラクティス
- セキュリティグループによるアクセス制御
- マスターユーザーアカウント特権
- Amazon Aurora のサービスにリンクされたロールの使用
- Amazon VPC VPC とAmazon Aurora