Amazon RDS の暗号化のベストプラクティス - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon RDS の暗号化のベストプラクティス

Amazon Relational Database Service (Amazon RDS) を使用して、 AWS クラウドでリレーショナルデータベース (DB) をセットアップ、運用、スケーリングできます。保管中に暗号化されるデータには、DB インスタンス、自動バックアップ、リードレプリカ、スナップショットの基本的なストレージが含まれます。

RDS DB インスタンスに保管中のデータを暗号化する方法は次のとおりです。

  • Amazon RDS DB インスタンスは AWS KMS keys AWS 、 マネージドキーまたはカスタマーマネージドキーを使用して暗号化できます。詳細については、このガイドの「AWS Key Management Service」を参照してください。

  • Amazon RDS for Oracle と Amazon RDS for SQL Server は、Transparent Data Encryption (TDE) による DB インスタンスの暗号化をサポートします。詳細については、「Oracle の Transparent Data Encryption」または「SQL Server の Transparent Data Encryption」のサポートを参照してください。

    TDE キーと KMS キーの両方を使用して DB インスタンスを暗号化できます。ただし、これはデータベースのパフォーマンスに若干影響する可能性があるため、これらのキーは個別に管理する必要があります。

RDS DB インスタンスに、または RDS DB インスタンスから転送中のデータを暗号化する方法は次のとおりです。

  • MariaDB、Microsoft SQL Server、MySQL、Oracle、PostgreSQL を実行している Amazon RDS DB インスタンスの場合は、SSL で接続を暗号化できます。詳細については、「SSL/TLS を使用して DB インスタンスへの接続を暗号化する」を参照してください。

  • また、Amazon RDS for Oracle は、Oracle ネイティブネットワーク暗号化 (NNE) をサポートしています。これを使用すると、DB インスタンスとの間でデータの移動を暗号化できます。NNE 暗号化と SSL 暗号化は同時に使用できません。詳細については、「Oracle native network encryption」を参照してください。

このサービスでは、以下の暗号化のベストプラクティスを検討してください。

  • 暗号化が必要なデータを処理、保存、または送信するために Amazon RDS for SQL Server または Amazon RDS for PostgreSQL DB インスタンスに接続する場合、RDS トランスポート暗号化機能を使用して接続を暗号化します。これを実装するには、パラメータグループの rds.force_ssl パラメータを 1 に設定します。詳細については、「パラメータグループの操作」を参照してください。Amazon RDS for Oracle は Oracle データベースのネイティブネットワーク暗号化を使用しています。

  • RDS DB インスタンス暗号化用のカスタマーマネージドキーは、その目的にのみ使用し、他の AWS のサービスでは使用しないでください。

  • RDS DB インスタンスを暗号化する前に、KMS キー要件を設定します。インスタンスが使用するキーは後で変更できません。たとえば、暗号化ポリシーで、ビジネス要件に基づいて、 AWS マネージドキーまたはカスタマーマネージドキーの使用および管理基準を定義します。

  • カスタマーマネージド KMS キーへのアクセスを許可する場合は、IAM ポリシーで条件キーを使用して最小特権の原則に従います。例えば、Amazon RDS から送信されるリクエストにのみカスタマーマネージドキーを使用できるようにするには、 rds.<region>.amazonaws.com値を指定して kms:ViaService 条件キーを使用します。さらに、Amazon RDS 暗号化コンテキストのキーまたは値を、カスタマーマネージドキーを使用する条件として使用できます。

  • 暗号化された RDS DB インスタンスのバックアップを有効化することを強くお勧めします。Amazon RDS は、KMS キーが有効になっていない場合や、KMS キーへの RDS アクセスが取り消された場合などに、DB インスタンスの KMS キーにアクセスできなくなる可能性があります。この場合、暗号化された DB インスタンスは 7 日間回復可能な状態になります。DB インスタンスが 7 日経ってもキーへのアクセスを回復しない場合、最終的にデータベースにはアクセスできなくなるため、バックアップから復元する必要があります。詳細については、「DB インスタンスの暗号化」を参照してください。

  • リードレプリカとその暗号化された DB インスタンスが同じ にある場合は AWS リージョン、同じ KMS キーを使用して両方を暗号化する必要があります。

  • で AWS Config、rds-storage-encrypted AWS マネージドルールを実装して RDS DB インスタンスの暗号化を検証して適用し、rds-snapshots-encrypted ルールを実装して RDS データベーススナップショットの暗号化を検証して適用します。

  • を使用して AWS Security Hub 、Amazon RDS リソースがセキュリティのベストプラクティスに従っているかどうかを評価します。詳細については、「Amazon RDS の Security Hub コントロール」を参照してください。