ベストプラクティス

TLS/SSL などのセキュリティメカニズムを使用して Amazon RDS データベースに接続するように Amazon RDS Proxy を設定することをお勧めします こうすることで、RDS Proxy はクライアントアプリケーションとデータベースの間のセキュリティの追加レイヤーとして機能することができます。RDS Proxy は、TLS プロトコルバージョン 1.2 をサポートしています。RDS Proxy は AWS Certificate Manager (ACM) からの証明書を使用します。これにより、プロキシ接続を更新することなく証明書をローテーションできます。

また、RDS Proxy には AWS Identity and Access Management (IAM) ベースの認証を使用することをお勧めします。この設定では、RDS プロキシエンドポイントが AWS Secrets Managerから Amazon RDS データベースシークレット (ユーザー名とパスワードの認証情報を含む) を取得することを許可します。Secrets Manager は、Amazon RDS データベースのユーザー名とパスワードの機密性を保持し、定義された定期的な間隔でパスワードをローテーションすることができます。RDS Proxy のセキュリティと認証のセットアップの詳細については、「AWS のドキュメント」を参照してください。

接続のピンニングは、Amazon RDS for PostgreSQL データベースと RDS Proxy エンドポイントの両方でモニタリングすべき重要なメトリクスです ピンニングは、クライアントセッションが以前のリクエストからの状態情報に依存している場合に発生します。ピンニングが発生すると、データベースのクライアントセッションが異なるデータベース接続にまたがってトランザクションを実行することができません。ピンニングは、SET コマンドの使用、または一時的なシーケンス、テーブル、ビューの作成によって発生することがあります。その結果、プロキシの多重化が減少します。つまり、RDS Proxy からのクライアントが使用できる接続の数が減少します。ピンニング接続を確認するには、以下の Amazon CloudWatch メトリクスをモニタリングしてください。

• ClientConnections

• DatabaseConnections

• MaxDatabaseConnectionsAllowed

• DatabaseConnectionsCurrentlySessionPinned

詳細については、「Amazon RDS for PostgreSQL workshop」を参照してください。