Amazon Relational Database Service
ユーザーガイド

Amazon RDS でのセキュリティ

AWS では、クラウドのセキュリティが最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャから利点を得られます。

セキュリティは、AWS とお客様の間の共有責任です。共有責任モデルでは、これをクラウドセキュリティおよびクラウドのセキュリティとして説明しています。

  • クラウドのセキュリティ – AWS は、AWS クラウド内で AWS サービスを実行するインフラストラクチャを保護する責任を担います。また、AWS は、使用するサービスを安全に提供します。AWS コンプライアンスプログラムの一環として、サードパーティーの監査が定期的にセキュリティの有効性をテストおよび検証しています。Amazon RDS に適用するコンプライアンスプログラムの詳細については、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」を参照してください。

  • クラウド内のセキュリティ – お客様の責任はお客様が使用する AWS のサービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。

このドキュメントは、Amazon RDS を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するために Amazon RDS を設定する方法を示します。また、Amazon RDS リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。

DB インスタンスの上の Amazon RDS リソースとデータベースへのアクセスを管理できます。アクセスの管理に使用する方法は、ユーザーが Amazon RDS で実行する必要のあるタスクのタイプによって異なります。

  • Amazon VPC サービスに基づき、Virtual Private Cloud (VPC) 内で DB インスタンスを実行して、ネットワークアクセスコントロールを最大限に拡張します。VPC での DB インスタンスの作成の詳細については、「Amazon Virtual Private Cloud VPC および Amazon RDS」を参照してください。

  • AWS Identity and Access Management (IAM) ポリシーを使用して、どのユーザーが Amazon RDS リソースの管理を許可されるかを決定するアクセス許可を割り当てます。たとえば、IAM を使用して、いずれのユーザーが DB インスタンスのの作成、情報入手、変更、削除、リソースのタグ付け、セキュリティグループの変更を許可されるかを決定します。

  • セキュリティグループを使用して、どの IP アドレスまたは Amazon EC2 インスタンスが DB インスタンスの上のデータベースに接続できるかを制御します。DB インスタンスのを初めて作成すると、そのインスタンスのファイアウォールにより、関連付けられるセキュリティグループによって指定されたルールに従ったアクセスを除き、データベースへのアクセスはすべて禁止されます。

  • MySQL、MariaDB、PostgreSQL、Oracle、Microsoft SQL Server のデータベースエンジンを実行する DB インスタンスと Secure Socket Layer (SSL) または Transport Layer Security (TLS) の接続を使用します。DB インスタンスで SSL/TLS を使用する方法の詳細については、「SSL/TLS を使用した DB インスタンスへの接続の暗号化」を参照してください。

  • Amazon RDS の暗号化を使用して、DB インスタンス 、および保管時のスナップショットを保護します。Amazon RDS の暗号化では、業界標準の AES-256 暗号化アルゴリズムを使用して、サーバー上のデータを暗号化し、DB インスタンスをホストします。詳細については、「Amazon RDS リソースの暗号化」を参照してください。

  • Oracle DB インスタンスではネットワーク暗号化と Transparent Data Encryption を使用します。詳細については、「Oracle ネイティブネットワーク暗号化」と「Oracle Transparent Data Encryption」を参照してください。

  • DB エンジンのセキュリティ機能を使用して、DB インスタンスのデータベースにログインできるユーザーを制御します。これらの機能は、データベースがローカルネットワーク上にあるかのように動作します。

注記

目的のユースケースに対してのみ、セキュリティを設定する必要があります。Amazon RDS で管理されるプロセス用にセキュリティアクセスを設定する必要はありません。このプロセスには、バックアップの作成、マスターとリードレプリカの間のデータのレプリケートなどがあります。

Amazon RDS リソースや DB インスタンスの上のデータベースに対するアクセスの管理の詳細については、次のトピックを参照してください。