翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Relational Database Service コントロール
これらのコントロールは Amazon RDS リソースに関連しています。
これらのコントロールは、 AWS リージョン一部では使用できない場合があります。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[RDS.1] RDS スナップショットはプライベートである必要があります
関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 非常事態
リソースタイプ: AWS::RDS::DBClusterSnapshot、AWS::RDS::DBSnapshot
AWS Config ルール : rds-snapshots-public-prohibited
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon RDS スナップショットがパブリックかどうかをチェックします。RDS スナップショットがパブリックである場合、このコントロールは失敗します。このコントロールは、RDS インスタンス、Aurora DB インスタンス、Neptune DB インスタンス、Amazon DocumentDB クラスターを評価します。
RDS スナップショットは、特定の時点で RDS インスタンスのデータをバックアップするために使用されます。これらは、RDS インスタンスを以前の状態に復元するために使用できます。
RDS スナップショットは、意図しない限りパブリックにしないでください。暗号化されていない手動スナップショットをパブリックとして共有すると、このスナップショットをすべての AWS アカウントが使用できるようになります。これにより、RDS インスタンスの意図しないデータ漏えいが発生する可能性があります。
パブリックアクセスを許可するように設定を変更した場合、 AWS Config ルールは最大 12 時間変更を検出できない可能性があることに注意してください。 AWS Config ルールが変更を検出するまでは、設定がルールに違反していてもチェックはパスします。
DB スナップショットの共有の詳細については、「Amazon RDS ユーザーガイド」の「DB スナップショットの共有」を参照してください。
修正
RDS スナップショットからパブリックアクセスを削除するには、「Amazon RDS ユーザーガイド」の「スナップショットの共有」を参照してください。[DB スナップショットの可視性] で、[プライベート] を選択します。
[RDS.2] RDS DB インスタンスは、有効期間によって決定されるパブリックアクセスを禁止する必要があります PubliclyAccessible AWS Config
関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 非常事態
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-instance-public-access-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、インスタンス設定項目内の PubliclyAccessible フィールドを評価して、Amazon RDS インスタンスがパブリックにアクセスできるかどうかをチェックします。
Neptune DB インスタンスと Amazon DocumentDB クラスターには、PubliclyAccessible フラグがないため、評価できません。ただし、このコントロールでは、これらのリソースに関する結果を生成できます。これらの結果を抑制できます。
RDS インスタンス設定 の PubliclyAccessible 値は、DB インスタンスがパブリックにアクセスできるかどうかを示します。DB インスタンスが PubliclyAccessible で設定されている場合、パブリックに解決可能な DNS 名を持つインターネット向けインスタンスであり、パブリック IP アドレスに解決されます。DB インスタンスがパブリックにアクセスできない場合、それはプライベート IP アドレスに解決される DNS 名を持つ内部インスタンスとなります。
RDS インスタンスのパブリックアクセスを可能にする意図がない限り、RDS インスタンスを PubliclyAccessible 値に設定しないでください。この設定を行った場合、データベースインスタンスへの不要なトラフィックが許可される可能性があります。
修正
RDS DB インスタンスからパブリックアクセスを削除するには、「Amazon RDS ユーザーガイド」の「Amazon RDS DB インスタンスを変更する」を参照してください。[パブリックアクセス] で [いいえ] を選択します。
[RDS.3] RDS DB インスタンスでは、保管時の暗号化が有効になっている必要があります。
関連要件:CIS AWS Foundations Benchmark v1.4.0/2.3.1、NIST.800-53.r5 CA-9 (1)、NIST.800-53.R5 CM-3 (6)、NIST.800-53.R5 SC-3 (6)、NIST.800-53.R5 SC-28 (1)、nist.800-53.r5 SC-7 (10)、Nist.800-53.r5 SI-7 (6)
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-storage-encrypted
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon RDS DB インスタンスに対してストレージの暗号化が有効になっているかどうかをチェックします。
このコントロールは、RDS DB インスタンスを対象としています。ただし、Aurora DB インスタンス、Neptune DB インスタンス、および Amazon DocumentDB クラスターの結果を生成することもできます。これらの結果が役に立たない場合は、それらを抑制できます。
RDS DB インスタンスの機密データのセキュリティを強化するには、RDS DB インスタンスを保管中に暗号化するように設定する必要があります。保管中の Amazon RDS DB インスタンスとスナップショットを暗号化するには、RDS DB インスタンスの暗号化オプションを有効にします。保管中に暗号化されるデータには、DB インスタンス、自動バックアップ、リードレプリカ、スナップショットの基本的なストレージが含まれます。
RDS の暗号化された DB インスタンスでは、RDS DB インスタンスをホストしているサーバーでデータを暗号化するために、オープン標準の AES-256 暗号化アルゴリズムを使用します。データが暗号化されると、Amazon RDS はパフォーマンスの影響を最小限に抑えながら、データへのアクセスと復号化の認証を透過的に処理します。暗号化を使用するために、データベースのクライアントアプリケーションを変更する必要はありません。
Amazon RDS 暗号化は、現在すべてのデータベースエンジンおよびストレージタイプに使用できます。Amazon RDS 暗号化は、ほとんどの DB インスタンスクラスで使用できます。Amazon RDS 暗号化をサポートしていない DB インスタンスクラスの詳細については、「Amazon RDS ユーザーガイド」の「Amazon RDS リソースの暗号化」を参照してください。
修正
Amazon RDS での DB インスタンスの暗号化の詳細については、「Amazon RDS ユーザーガイド」の「Amazon RDS リソースの暗号化」を参照してください。
[RDS.4] RDS クラスタースナップショットとデータベーススナップショットは保管中に暗号化する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ: AWS::RDS::DBClusterSnapshot、 AWS::RDS::DBSnapshot
AWS Config ルール : rds-snapshot-encrypted
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、RDS DB スナップショットが暗号化されているかどうかをチェックします。RDS DB スナップショットが暗号化されていない場合、コントロールは失敗します。
このコントロールは、RDS DB インスタンスを対象としています。ただし、Aurora DB インスタンス、Neptune DB インスタンス、および Amazon DocumentDB クラスターのスナップショットに関する結果を生成することもできます。これらの結果が役に立たない場合は、それらを抑制できます。
保管中のデータを暗号化すると、認証されていないユーザーがディスクに保存しているデータにアクセスするリスクが低減されます。RDS スナップショット内のデータは、セキュリティを強化するために、保管中に暗号化する必要があります。
修正
RDS スナップショットを暗号化するには、「Amazon RDS ユーザーガイド」の「Amazon RDS リソースの暗号化」を参照してください。RDS DB インスタンスを暗号化するとき、暗号化されたデータにはインスタンスの基盤となるストレージ、自動バックアップ、リードレプリカ、スナップショットが含まれます。
RDS DB インスタンスを暗号化できるのは作成時のみであり、DB インスタンスの作成後には暗号化できません。ただし、暗号化されていないスナップショットのコピーは暗号化できるので、暗号化されていない DB インスタンスに効果的に暗号化を追加できます。つまり、DB インスタンスのスナップショットを作成し、そのスナップショットの暗号化済みコピーを作成します。この暗号化されたスナップショットから DB インスタンスを復元することで、元の DB インスタンスの暗号化されたコピーを作成できます。
[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-multi-az-support
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、RDS DB インスタンスの高可用性が有効になっているかどうかをチェックします。
RDS DB インスタンスは、複数のアベイラビリティーゾーン (AZ) に対して設定する必要があります。これにより、保存されたデータの可用性が保証されます。マルチ AZ 配置では、AZ の可用性に問題が発生した場合や、RDS の定期メンテナンス中に自動フェイルオーバーを実行できます。
修正
DB インスタンスを複数の AZ にデプロイするには、「Amazon RDS ユーザーガイド」の「DB インスタンスをマルチ AZ DB インスタンスのデプロイに変更する」を参照してください。
[RDS.6] RDS DB インスタンスの拡張モニタリングを設定する必要があります
関連する要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2
カテゴリ: 検出 > 検出サービス
重要度: 低
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-enhanced-monitoring-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
モニタリングメトリクスの収集間隔の秒数 |
列挙型 |
|
デフォルト値なし |
このコントロールは、Amazon Relational Database Service (Amazon RDS) DB インスタンスに対して拡張モニタリングが有効になっているかどうかをチェックします。インスタンスで拡張モニタリングが有効になっていない場合、コントロールは失敗します。monitoringInterval パラメータにカスタム値を指定したときは、指定された間隔でインスタンスの拡張モニタリングメトリクスが収集された場合にのみコントロールが成功します。
Amazon RDS では、拡張モニタリングによって、基盤となるインフラストラクチャのパフォーマンスの変化に対してより迅速にレスポンスできます。これらのパフォーマンスの変化により、データの可用性が低下する可能性があります。拡張モニタリングが有効になっている場合、RDS DB インスタンスが実行される OS のリアルタイムメトリクスを提供します。エージェントがインスタンスにインストールされています。エージェントは、ハイパーバイザーレイヤーから得られるよりも正確にメトリクスを取得できます。
拡張モニタリングのメトリクスは、DB インスタンス上のさまざまなプロセスやスレッドがどのように CPU を使用しているかを表示するときに便利です。詳細については、「Amazon RDS ユーザーガイド」の「拡張モニタリング」を参照してください。
修正
DB インスタンスで拡張モニタリングを有効にする手順の詳細については、「Amazon RDS ユーザーガイド」の「拡張モニタリングの設定と有効化」を参照してください。
[RDS.7] RDS クラスターでは、削除保護が有効になっている必要があります
関連する要件: NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)
カテゴリ: 保護 > データ保護 > データ削除保護
重要度: 低
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール : rds-cluster-deletion-protection-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、RDS DB クラスターで削除保護が有効になっているかどうかをチェックします。RDS DB クラスターで削除保護が有効になっていない場合、コントロールは失敗します。
このコントロールは、RDS DB インスタンスを対象としています。ただし、Aurora DB インスタンス、Neptune DB インスタンス、および Amazon DocumentDB クラスターの結果を生成することもできます。これらの結果が役に立たない場合は、それらを抑制できます。
クラスターの削除保護を有効にすることで、偶発的なデータベース削除や不正なエンティティによる削除に対して保護の強化を提供します。
削除保護が有効になっている場合、RDS クラスターは削除できません。削除リクエストが成功するには、削除保護を無効にする必要があります。
修正
RDS DB クラスターの削除保護を有効にするには、「Amazon RDS ユーザーガイド」の「コンソール、CLI、API を使用した DB クラスターの変更」を参照してください。[削除保護] で [削除保護の有効化] を選択します。
[RDS.8] RDS DB インスタンスで、削除保護が有効になっている必要があります
関連する要件: NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: 保護 > データ保護 > データ削除保護
重要度: 低
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-instance-deletion-protection-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(カスタマイズ不可)
このコントロールは、リストされたデータベースエンジンのいずれかを使用する RDS DB インスタンスで削除保護が有効になっているかどうかをチェックします。RDS DB インスタンスで削除保護が有効になっていない場合、コントロールは失敗します。
インスタンス削除保護を有効にすると、偶発的なデータベース削除や不正なエンティティによる削除に対する保護の強化を提供します。
削除保護が有効になっている間は、RDS DB インスタンスを削除できません。削除リクエストが成功するには、削除保護を無効にする必要があります。
修正
RDS DB インスタンスの削除保護を有効にするには、「Amazon RDS ユーザーガイド」の「Amazon RDS DB インスタンスを変更する」を参照してください。[削除保護] で [削除保護の有効化] を選択します。
[RDS.9] RDS DB CloudWatch インスタンスはログにログを公開する必要がある
関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-logging-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon RDS DB インスタンスが以下のログを Amazon CloudWatch Logs に発行するように設定されているかどうかを確認します。インスタンスが以下のログを Logs に発行するように設定されていない場合、コントロールは失敗します。 CloudWatch
-
Oracle: (アラート、監査、トレース、リスナー)
-
PostgreSQL: (Postgresql、アップグレード)
-
MySQL: (監査、エラー、一般、 SlowQuery)
-
MariaDB: (監査、エラー、一般、) SlowQuery
-
SQL Server: (エラー、エージェント)
-
Aurora: (監査、エラー、一般、 SlowQuery)
-
オーロラ MySQL: (監査、エラー、一般、) SlowQuery
-
Aurora-PostgreSQL: (Postgresql、アップグレード)。
RDS データベースでは、関連するログを有効にする必要があります。データベースログ記録は、RDS に対して行われたリクエストの詳細な記録を提供します。データベースログは、セキュリティとアクセス監査に役立ち、可用性の問題を診断するのに役立ちます。
修正
RDS CloudWatch データベースログをログに公開するには、Amazon RDS ユーザーガイドの 「 CloudWatch ログに公開するログの指定」を参照してください。
[RDS.10] IAM 認証は RDS インスタンス用に設定する必要があります
関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6
カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証
重要度: 中
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-instance-iam-authentication-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、RDS DB インスタンスで IAM データベース認証が有効になっているかどうかをチェックします。RDS DB インスタンスに IAM 認証が設定されていない場合、コントロールは失敗します。このコントロールは、mysql、postgres、aurora、aurora-mysql、aurora-postgresql および mariadb のエンジンタイプの RDS インスタンスのみを評価します。また、RDS インスタンスが結果を生成するには、available、backing-up、storage-optimization、storage-full のいずれかの状態になっている必要があります。
IAM データベース認証では、パスワードではなく、認証トークンを使用したデータベースインスタンスへの認証が可能です。データベースに出入りするネットワークトラフィックは、SSL を使用して暗号化されます。詳細については、「Amazon Aurora ユーザーガイド」の「IAM データベース認証」を参照してください。
修正
RDS DB インスタンスで IAM データベース認証を有効にするには、「Amazon RDS ユーザーガイド」の「IAM データベース認証の有効化と無効化」を参照してください。
[RDS.11] RDS インスタンスでは、自動バックアップが有効になっている必要があります
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > バックアップの有効化
重要度: 中
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : db-instance-backup-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
最小バックアップ保持期間 (日数) |
整数 |
|
|
|
|
リードレプリカに対して RDS DB インスタンスでバックアップが有効になっているかどうかを確認します |
ブール値 |
カスタマイズ不可 |
|
このコントロールは、Amazon Relational Database Service インスタンスで自動バックアップが有効に設定されていて、バックアップ保持期間が指定された時間枠以上であるかどうかをチェックします。リードレプリカは評価から除外されます。インスタンスのバックアップが有効になっていない場合や、保持期間が指定された時間枠未満の場合、コントロールは失敗します。バックアップ保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 7 日を使用します。
バックアップは、セキュリティインシデントからより迅速に復元し、システムの耐障害性を強化するのに役立ちます。Amazon RDS により、毎日のフルインスタンスボリュームスナップショットを設定することができます。Amazon RDS の自動バックアップの詳細については、「Amazon RDS ユーザーガイド」の「バックアップの使用」を参照してください。
修正
RDS DB インスタンスの自動バックアップを有効化するには、「Amazon RDS ユーザーガイド」の「自動バックアップの有効化」を参照してください。
[RDS.12] IAM 認証は RDS クラスター用に設定する必要があります
関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6
カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証
重要度: 中
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール : rds-cluster-iam-authentication-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon RDS DB クラスターで IAM データベース認証が有効になっているかどうかをチェックします。
IAM データベース認証では、データベースインスタンスへパスワードなしの認証が許可されています。認証には、認証トークンが使用されます。データベースに出入りするネットワークトラフィックは、SSL を使用して暗号化されます。詳細については、「Amazon Aurora ユーザーガイド」の「IAM データベース認証」を参照してください。
修正
DB クラスターで IAM 認証を有効にするには、「Amazon Aurora ユーザーガイド」の「IAM データベース認証の有効化と無効化」を参照してください。
[RDS.13] RDS 自動マイナーバージョンアップグレードを有効にする必要があります
関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)
カテゴリ: 検出 > 脆弱性およびパッチ管理
重要度: 高
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-automatic-minor-version-upgrade-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、RDS データベースインスタンスでマイナーバージョン自動アップグレードが有効になっているかどうかをチェックします。
マイナーバージョン自動アップグレードを有効にすると、リレーショナルデータベース管理システム (RDBMS) に最新のマイナーバージョンの更新がインストールされます。これらのアップグレードには、セキュリティパッチとバグ修正を含む場合があります。パッチのインストールを最新の状態に保つことは、システムを保護する上で重要なステップです。
修正
既存の DB インスタンスの自動マイナーバージョンアップグレードを有効にするには、「Amazon RDS ユーザーガイド」の「Amazon RDS DB インスタンスを変更する」を参照してください。[マイナーバージョン自動アップグレード] で [はい] を選択します。
[RDS.14] Amazon Aurora クラスターはバックトラッキングを有効にする必要があります
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > バックアップの有効化
重要度: 中
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール : aurora-mysql-backtracking-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
Aurora MySQL クラスターをバックトラックする時間数 |
ダブル |
|
デフォルト値なし |
このコントロールは、Amazon Aurora クラスターでバックトラックが有効になっているかどうかをチェックします。クラスターでバックトラックが有効になっていない場合、コントロールは失敗します。BacktrackWindowInHours パラメータにカスタム値を指定したときは、指定された時間、クラスターがバックトラックされた場合にのみコントロールが成功します。
バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。Aurora バックトラッキングによって、データベースを特定の時点に復元する時間が短縮されます。復元を実行する場合にデータベースの復元は必要ありません。
修正
Aurora バックトラックを有効にするには、「Amazon Aurora ユーザーガイド」の「バックトラックの設定」を参照してください。
既存のクラスターではバックトラッキングを有効にできないことに注意してください。代わりに、バックトラッキングが有効になっているクローンを作成できます。Aurora でのバックトラック制限の詳細については、「バックトラックの概要」の制限事項の一覧を参照してください。
[RDS.15] RDS DB クラスターを複数のアベイラビリティーゾーンに対して設定する必要があります
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール : rds-cluster-multi-az-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、RDS DB クラスターで高可用性が有効になっているかどうかをチェックします。RDS DB クラスターが複数のアベイラビリティーゾーン (AZ) にデプロイされていない場合、コントロールは失敗します。
RDS DB クラスターは、保存されたデータの可用性を確保するために、複数の AZ に対して設定する必要があります。複数の AZ にデプロイすると、AZ の可用性に問題が発生した場合や、RDS の定期メンテナンスイベント中に自動フェイルオーバーを実行できます。
修正
DB クラスターを複数の AZ にデプロイするには、「Amazon RDS ユーザーガイド」の「DB インスタンスをマルチ AZ DB インスタンスのデプロイに変更する」を参照してください。
Aurora グローバルデータベースでは、修正の手順が異なります。Aurora グローバルデータベースに複数のアベイラビリティーゾーンを設定するには、DB クラスターを選択します。次に、[アクション] と [リーダーの追加] を選択し、複数の AZ を指定します。詳細については、「Amazon Aurora ユーザーガイド」の「Aurora レプリカを DB クラスターに追加する」を参照してください。
[RDS.16] タグをスナップショットにコピーするように RDS DB クラスターを設定する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
カテゴリ: 識別 > インベントリ
重要度: 低
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール: rds-cluster-copy-tags-to-snapshots-enabled (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、スナップショットの作成時に、すべてのタグをスナップショットにコピーするように RDS DB クラスターが設定されているかどうかをチェックします。
IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。すべての RDS DB クラスタを可視化することで、それらのセキュリティ体制を評価し、潜在的な弱点に対してアクションを起こせるようにする必要があります。スナップショットは、親 RDS データベースクラスターと同じ方法でタグ付けする必要があります。この設定を有効にすると、スナップショットが親データベースクラスターのタグを継承します。
修正
RDS DB クラスターのスナップショットにタグを自動的にコピーするには、「Amazon Aurora ユーザーガイド」の「コンソール、CLI、API を使用して DB クラスターを変更する」を参照してください。[タグをスナップショットへコピー] を選択します。
[RDS.17] RDS DB インスタンスは、タグをスナップショットにコピーするように設定する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
カテゴリ: 識別 > インベントリ
重要度: 低
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール: rds-instance-copy-tags-to-snapshots-enabled (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、スナップショットの作成時に、すべてのタグをスナップショットにコピーするように RDS DB インスタンスが構成されているかどうかをチェックします。
IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。すべての RDS DB インスタンスを可視化することで、それらのセキュリティ体制を評価し、潜在的な弱点に対してアクションを起こせるようにする必要があります。スナップショットは、親 RDS データベースインスタンスと同じ方法でタグ付けする必要があります。この設定を有効にすると、スナップショットが親データベースインスタンスのタグを継承します。
修正
RDS DB インスタンスのスナップショットにタグを自動的にコピーするには、「Amazon RDS ユーザーガイド」の「Amazon RDS DB インスタンスを変更する」を参照してください。[タグをスナップショットへコピー] を選択します。
[RDS.18] RDS インスタンスは VPC 内にデプロイする必要があります
関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)
カテゴリ: 保護 > セキュアなネットワーク設定 > VPC 内のリソース
重要度: 高
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール: rds-deployed-in-vpc (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon RDS インスタンスが EC2-VPC にデプロイされているかどうかをチェックします。
VPC は、RDS リソースへのアクセスを保護するための多数のネットワークコントロールを提供します。これらのコントロールには、VPC エンドポイント、ネットワーク ACL、セキュリティグループが含まれます。これらのコントロールを利用するには、EC2-VPC 上に RDS インスタンスを作成することが推奨されます。
修正
RDS インスタンスを VPC に移動する方法については、「Amazon RDS ユーザーガイド」の「DB インスタンスの VPC を更新する」を参照してください。
[RDS.19] 重大なクラスターイベントについて、既存の RDS イベント通知サブスクリプションを設定する必要があります
関連する要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2
カテゴリ: 検出 > 検出サービス > アプリケーションモニタリング
重要度: 低
リソースタイプ: AWS::RDS::EventSubscription
AWS Config ルール: rds-cluster-event-notifications-configured (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、データベースクラスターの既存の Amazon RDS イベントサブスクリプションに、次のソースタイプ、イベントカテゴリのキーと値のペアに対して有効な通知があるかどうかをチェックします。
DBCluster: ["maintenance","failure"]
アカウントに既存のイベントサブスクリプションがない場合、コントロールはパスします。
RDS イベント通知は Amazon SNS を使用して、RDS リソースの可用性または設定の変更を通知します。これらの通知により、迅速な対応が実現します。RDS イベント通知の詳細については、「Amazon RDS ユーザーガイド」の「Amazon RDS イベント通知の使用」を参照してください。
修正
RDS クラスターイベント通知にサブスクライブするには、「アマゾン RDS ユーザーガイド」の「Amazon RDS イベント通知にサブスクライブする」を参照してください。以下の値を使用します。
| フィールド | 値 |
|---|---|
|
ソースタイプ |
クラスター |
|
含めるクラスター |
すべてのクラスター |
|
含めるイベントカテゴリ |
[Specific event categories] (特定のイベントカテゴリ) または [All event categories] (すべてのイベントカテゴリ) を選択します |
[RDS.20] 重大なデータベースインスタンスイベントに対して、既存の RDS イベント通知サブスクリプションを設定する必要があります
関連する要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2
カテゴリ: 検出 > 検出サービス > アプリケーションモニタリング
重要度: 低
リソースタイプ: AWS::RDS::EventSubscription
AWS Config ルール: rds-instance-event-notifications-configured (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、データベースインスタンスの既存の Amazon RDS イベントサブスクリプションに、次のソースタイプ、イベントカテゴリのキーと値のペアに対して有効な通知があるかどうかをチェックします。
DBInstance: ["maintenance","configuration change","failure"]
アカウントに既存のイベントサブスクリプションがない場合、コントロールはパスします。
RDS イベント通知は Amazon SNS を使用して、RDS リソースの可用性または設定の変更をユーザーに知らせます。これらの通知により、迅速な対応が実現します。RDS イベント通知の詳細については、「Amazon RDS ユーザーガイド」の「Amazon RDS イベント通知の使用」を参照してください。
修正
RDS インスタンスイベント通知にサブスクライブするには、「Amazon RDS ユーザーガイド」の「Amazon RDS イベント通知にサブスクライブする」を参照してください。以下の値を使用します。
| フィールド | 値 |
|---|---|
|
ソースタイプ |
インスタンス |
|
含めるインスタンス |
すべてのインスタンス |
|
含めるイベントカテゴリ |
[Specific event categories] (特定のイベントカテゴリ) または [All event categories] (すべてのイベントカテゴリ) を選択します |
[RDS.21] 重大なデータベースパラメータグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります
関連する要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2
カテゴリ: 検出 > 検出サービス > アプリケーションモニタリング
重要度: 低
リソースタイプ: AWS::RDS::EventSubscription
AWS Config ルール: rds-pg-event-notifications-configured (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、次のソースタイプ、イベントカテゴリのキーバリューペアに対して通知が有効になっている Amazon RDS イベントサブスクリプションが存在するかどうかをチェックします。
DBParameterGroup: ["configuration change"]
RDS イベント通知は Amazon SNS を使用して、RDS リソースの可用性または設定の変更をユーザーに知らせます。これらの通知により、迅速な対応が実現します。RDS イベント通知の詳細については、「Amazon RDS ユーザーガイド」の「Amazon RDS イベント通知の使用」を参照してください。
修正
RDS データベースパラメータグループイベント通知にサブスクライブするには、「Amazon RDS ユーザーガイド」の「Amazon RDS イベント通知にサブスクライブする」を参照してください。以下の値を使用します。
| フィールド | 値 |
|---|---|
|
ソースタイプ |
パラメータグループ |
|
含めるパラメータグループ |
すべてのパラメータグループ |
|
含めるイベントカテゴリ |
[Specific event categories] (特定のイベントカテゴリ) または [All event categories] (すべてのイベントカテゴリ) を選択します |
[RDS.22] 重大なデータベースセキュリティグループイベントに対して RDS イベント通知サブスクリプションを設定する必要があります
関連する要件: NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2
カテゴリ: 検出 > 検出サービス > アプリケーションモニタリング
重要度: 低
リソースタイプ: AWS::RDS::EventSubscription
AWS Config ルール: rds-sg-event-notifications-configured (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、次のソースタイプ、イベントカテゴリのキーバリューペアに対して通知が有効になっている Amazon RDS イベントサブスクリプションが存在するかどうかをチェックします。
DBSecurityGroup: ["configuration change","failure"]
RDS イベント通知は Amazon SNS を使用して、RDS リソースの可用性または設定の変更をユーザーに知らせます。これらの通知により、迅速なレスポンスが可能になります。RDS イベント通知の詳細については、「Amazon RDS ユーザーガイド」の「Amazon RDS イベント通知の使用」を参照してください。
修正
RDS インスタンスイベント通知にサブスクライブするには、「Amazon RDS ユーザーガイド」の「Amazon RDS イベント通知にサブスクライブする」を参照してください。以下の値を使用します。
| フィールド | 値 |
|---|---|
|
ソースタイプ |
セキュリティグループ |
|
含めるセキュリティグループ |
すべてのセキュリティグループ |
|
含めるイベントカテゴリ |
[Specific event categories] (特定のイベントカテゴリ) または [All event categories] (すべてのイベントカテゴリ) を選択します |
[RDS.23] RDS インスタンスはデータベースエンジンのデフォルトポートを使用しないようにする必要があります
関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 低
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール: rds-no-default-ports (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、RDS クラスターまたはインスタンスがデータベースエンジンのデフォルトポート以外のポートを使用しているかどうかをチェックします。RDS クラスターまたはインスタンスがデフォルトポートを使用する場合、このコントロールは失敗します。
既知のポートを使用して RDS クラスターまたはインスタンスをデプロイすると、攻撃者はクラスターまたはインスタンスに関する情報を推測できる可能性があります。攻撃者は、この情報を他の情報と組み合わせ、RDS クラスターまたはインスタンスに接続したり、ユーザーのアプリケーションに関する追加情報を取得できます。
ポートを変更する場合は、古いポートへの接続に使用された既存の接続文字列も更新する必要があります。また、ユーザーは DB インスタンスのセキュリティグループをチェックして、新しいポートでの接続を許可するイングレスルールが確実に含まれていることを確認する必要があります。
修正
既存の RDS DB インスタンスのデフォルトポートを変更するには、「Amazon RDS ユーザーガイド」の「Amazon RDS DB インスタンスを変更する」を参照してください。既存の RDS DB クラスターのデフォルトポートを変更するには、「Amazon Aurora ユーザーガイド」の「コンソール、CLI、API を使用した DB クラスターの変更」を参照してください。データベースポートについて、ポート値をデフォルト以外の値に変更します。
[RDS.24] RDS データベースクラスターはカスタム管理者ユーザー名を使用する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 識別 > リソース設定
重要度: 中
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール : rds-cluster-default-admin-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon RDS データベースクラスターが管理者ユーザーネームをデフォルト値から変更したかどうかをチェックします。このコントロールは、Neptune (Neptune DB) または docdb (DocumentDB) タイプのエンジンには適用されません。管理者ユーザーネームがデフォルト値に設定されている場合、このルールは失敗します。
Amazon RDS データベースを作成するときは、デフォルトの管理者ユーザーネームを一意の値に変更する必要があります。デフォルトのユーザーネームはパブリックナレッジであり、RDS データベースの作成時に変更する必要があります。デフォルトのユーザーネームを変更すると、意図しないアクセスのリスクが軽減されます。
修正
Amazon RDS データベースクラスターに関連付けられている管理者ユーザーネームを変更するには、新しい RDS データベースクラスターを作成し、データベースの作成時に、デフォルトの管理者ユーザーネームを変更します。
[RDS.25] RDS データベースインスタンスはカスタム管理者ユーザーネームを使用する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 識別 > リソース設定
重要度: 中
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール : rds-instance-default-admin-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールでは、Amazon Relational Database Service (Amazon RDS) のデータベースインスタンスの管理者ユーザーネームがデフォルト値から変更されたかどうかをチェックします。このコントロールは、Neptune (Neptune DB) または docdb (DocumentDB) タイプのエンジンには適用されません。管理者ユーザーネームがデフォルト値に設定されている場合、このコントロールは失敗します。
Amazon RDS データベースのデフォルトの管理ユーザーネームは、パブリックナレッジです。Amazon RDS データベースを作成するときは、意図しないアクセスのリスクを減らすために、デフォルトの管理ユーザーネームを一意の値に変更する必要があります。
修正
RDS データベースインスタンスに関連付けられている管理ユーザーネームを変更するには、始めに新しい RDS データベースインスタンスを作成します。データベースの作成時に、デフォルトの管理ユーザーネームを変更します。
[RDS.26] RDS DB インスタンスはバックアッププランで保護する必要があります
カテゴリ: リカバリ > 耐障害性 > バックアップの有効化
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
重要度: 中
リソースタイプ: AWS::RDS::DBInstance
AWS Config ルール:rds-resources-protected-by-backup-plan
スケジュールタイプ: 定期的
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
パラメーターが true に設定されていて、リソースが AWS Backup Vault Lock を使用している場合、 |
ブール値 |
|
デフォルト値なし |
このコントロールは、Amazon RDS DB インスタンスがバックアッププランの対象かどうかを評価します。RDS DB インスタンスがバックアッププランの対象となっていない場合、このコントロールは失敗します。backupVaultLockCheckパラメータをに等しく設定した場合true、 AWS Backup インスタンスがロックされたボールトにバックアップされている場合にのみ制御が渡されます。
AWS Backup は、データのバックアップを一元化および自動化するフルマネージド型のバックアップサービスです。 AWS のサービスでは AWS Backup、バックアッププランと呼ばれるバックアップポリシーを作成できます。これらのプランを使用して、データのバックアップ頻度やバックアップを保持する期間など、バックアップ要件を定義できます。バックアッププランに RDS DB インスタンスを含めると、意図しない損失や削除からデータを保護できます。
修正
RDS DB AWS Backup インスタンスをバックアッププランに追加するには、『AWS Backup 開発者ガイド』の「バックアッププランへのリソースの割り当て」を参照してください。
[RDS.27] RDS DB クラスターは保管中に暗号化する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール:rds-cluster-encrypted-at-rest
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、RDS DB クラスターが保管中に暗号化されているかどうかをチェックします。RDS DB クラスターが保管中に暗号化されていない場合、コントロールは失敗します。
保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。暗号化は、このようなデータの機密性を保護し、権限のないユーザーがデータにアクセスするリスクを低減するのに役立ちます。RDS DB クラスターを暗号化することで、データとメタデータを不正アクセスから保護します。また、 data-at-rest プロダクションファイルシステムの暗号化に関するコンプライアンス要件も満たします。
修正
RDS DB クラスターを作成するときに、保管中の暗号化を有効にできます。クラスターを作成した後で暗号化設定を変更することはできません。詳細については、「Amazon Aurora ユーザーガイド」の「Amazon Aurora DB クラスターの暗号化」を参照してください。
[RDS.34] Aurora MySQL DB クラスターは監査ログをログに公開する必要がある CloudWatch
関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール:rds-aurora-mysql-audit-logging-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon Aurora MySQL DB クラスターが Amazon CloudWatch ログに監査ログを発行するように設定されているかどうかを確認します。クラスターが監査ログを Logs に発行するように設定されていない場合、コントロールは失敗します。 CloudWatch
監査ログには、ログイン試行、データ変更、スキーマ変更、セキュリティとコンプライアンスの目的で監査の対象となる可能性のあるその他のイベントなど、データベースアクティビティのレコードが記録されます。Amazon Logs のロググループに監査ログを発行するように Aurora MySQL DB クラスターを設定すると、 CloudWatch ログデータのリアルタイム分析を実行できます。 CloudWatch Logs はログを耐久性の高いストレージに保持します。でアラームを作成したり、メトリックスを表示したりすることもできます。 CloudWatch
注記
監査ログをログに公開する別の方法として、高度な監査を有効にし、クラスターレベルの DB パラメーターをに設定する方法があります。 CloudWatch server_audit_logs_upload 1server_audit_logs_upload parameter のデフォルト値は 0 です。ただし、このコントロールを渡すには、代わりに以下の修正手順を使用することをおすすめします。
修正
Aurora MySQL DB CloudWatch クラスターの監査ログをログに公開するには、Amazon Aurora ユーザーガイドの「Amazon Aurora MySQL ログを Amazon Aurora CloudWatch ログに公開する」を参照してください。
[RDS.35] RDS DB クラスターは自動マイナーバージョンアップグレードを有効にする必要があります
関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)
カテゴリ: 検出 > 脆弱性、パッチ、バージョン管理
重要度: 中
リソースタイプ: AWS::RDS::DBCluster
AWS Config ルール:rds-cluster-auto-minor-version-upgrade-enable
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon RDS マルチ AZ DB クラスターで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。マルチ AZ DB クラスターでマイナーバージョンの自動アップグレードが有効になっていない場合、コントロールは失敗します。
RDS では、RDS データベースクラスターを最新の状態に保つことができるように、マイナーバージョンの自動アップグレードを実行します。マイナーバージョンには、ソフトウェアの新機能、バグ修正、セキュリティパッチ、およびパフォーマンスの向上を含む可能性があります。RDS データベースクラスターでマイナーバージョンの自動アップグレードを有効にすると、新しいバージョンが利用可能になった時点で、クラスターとクラスター内のインスタンスがマイナーバージョンへ自動更新を受け取ります。更新はメンテナンスの時間帯に自動で適用されます。
修正
マルチ AZ DB クラスターでマイナーバージョンの自動アップグレードを有効にするには、Amazon RDS ユーザーガイドの「マルチ AZ DB クラスターの変更」を参照してください。
