Amazon Relational Database Service
ユーザーガイド (API バージョン 2014-10-31)

Amazon Aurora PostgreSQL を使用したセキュリティ

Amazon Aurora PostgreSQL のセキュリティは次の 3 つのレベルで管理されます。

  • Aurora DB クラスターと DB インスタンスに対する Amazon RDS 管理アクションを実行できるユーザーを管理するには、AWS Identity and Access Management (IAM) を使用します。IAM 認証情報を使用して AWS に接続するとき、IAM アカウントには、Amazon RDS の管理オペレーションを実行するためのアクセス権限を付与する IAM ポリシーが必要です。詳細については、「Amazon RDS に対する認証とアクセスコントロール」を参照してください。

    IAM アカウントを使用して Amazon RDS コンソールにアクセスする場合は、IAM アカウントで AWS マネジメントコンソールにログオンした後、https://console.aws.amazon.com/rdsで Amazon RDS プレビューコンソールに移動する必要があります。

  • Aurora DB クラスターは Amazon Virtual Private Cloud (VPC) に作成する必要があります。VPC 内の Aurora DB クラスター用の DB インスタンスのエンドポイントとポートに対して接続を開くことができるデバイスと Amazon EC2 インスタンスを制御するには、VPC セキュリティグループを使用します。これらのエンドポイントとポート接続は、Secure Sockets Layer (SSL) を使用して作成できます。さらに、会社のファイアウォールルールでも、社内のいずれのデバイスが DB インスタンスへの接続を開くことができるかを制御できます。VPC の詳細については、「Amazon Virtual Private Cloud (VPCs) と Amazon RDS」を参照してください。

  • Amazon Aurora DB クラスターに対するログインとアクセス権限を認証するには、PostgreSQL のスタンドアロンインスタンスと同じ方法を使用します。

    CREATE ROLEALTER ROLEGRANTREVOKE などのコマンドは、オンプレミスデータベースでの方法と同様に、データベーススキーマテーブルを直接変更します。詳細については、PostgreSQL のドキュメントの「Client Authentication」を参照してください。

Amazon Aurora PostgreSQL DB インスタンスを作成すると、マスターユーザーには以下のデフォルト権限があります。

  • LOGIN

  • NOSUPERUSER

  • INHERIT

  • CREATEDB

  • CREATEROLE

  • NOREPLICATION

  • VALID UNTIL 'infinity'

各 DB クラスターに管理サービスを提供するために、DB インスタンスの作成時に rdsadmin ユーザーが作成されます。rdsadmin アカウントの権限をドロップ、名前変更、パスワード変更、または変更しようとするとエラーになります。