プロビジョニングされた Aurora DB クラスターをパブリックアクセス可能に設定する方法を教えてください。

所要時間1分
0

プロビジョニングされた Amazon Aurora DB クラスターをパブリックアクセス可能に設定したいです。さらに、Aurora DB クラスターを外部接続から保護したいです。

簡単な説明

前提条件 Amazon Virtual Private Cloud (Amazon VPC) 接続の外部から DB クラスターに接続するには、クラスターインスタンスにパブリック IP アドレスが必要です。Aurora DB インスタンスも、パブリックアクセス可能なサブネットで実行する必要があります。

TLS を使用すると、VPC 外部からの接続を保護できます。

解決策

DB インスタンスにパブリック IP アドレスを設定する

DB インスタンスにパブリック IP アドレスを設定するには、その DB インスタンスを変更します。[DB インスタンスの変更] ページの [接続] で、[その他の設定] を展開します。[パブリックサブネットで DB インスタンスを実行する][パブリックアクセス可能] を選択します。

パブリックサブネットで DB インスタンスを実行する

DB インスタンスのサブネットがインターネットにアクセスできることを確認するには、次の手順を実行します。

  1. VPC にインターネットゲートウェイがアタッチされていることを確認します。
  2. DB サブネットグループのすべてのサブネットが、インターネットゲートウェイを持つルートテーブルを使用していることを確認します。サブネットが VPC のメインルートテーブルを使用している場合は、インターネットゲートウェイ用のルート (0.0.0.0/0) を追加します。インターネットゲートウェイへのルートを含むカスタムルートテーブルを作成し、サブネットに関連付けてもかまいません。
  3. セキュリティグループのインバウンドルールを変更し、DB インスタンスへの接続元となるソースパブリック IP アドレスを追加します。ルール設定を行います。
    [タイプ] には、使用しているエンジンに応じて [MySQL/Aurora] または [PostgreSQL] を選択します。
    [ソース] には、CIDR 範囲を手動で入力するか、[My IP] を選択して同じワークステーションから DB インスタンスに接続します。

VPC 外部からの接続から DB クラスターを保護する

TLS を使用して VPC の外部からの接続を暗号化します。データ転送はインターネット経由で行われます。したがって、ssl-ca パラメータを使用して CA 証明書を渡し、ホスト名の検証を有効にすることをおすすめします。

TLS 接続をテストするには、使用する Aurora のバージョンに応じたコマンドを実行します。

Aurora MySQL 互換 5.7 以降

mysql -h Your-aurora-cluster-endpoint.cluster-abcdefghxyz.us-east-1.rds.amazonaws.com -u your-db-user --ssl-ca=rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY

注: 実際のものでそれぞれ、Your-aurora-cluster-endpoint.cluster-abcdefghxyz.us-east-1.rds.amazonaws.com をクラスターエンドポイントの ARN に、your-db-user をデータベースユーザーに置き換えます。

Amazon Aurora PostgreSQL 互換エディション

psql -h your-aurora-cluster-endpoint.cluster-abcdefghxyz.us-east-1.rds.amazonaws.com -p 5432 "dbname=postgres user=your-db-user sslrootcert=rds-combined-ca-bundle.pem sslmode=verify-full"

注: 実際のものでそれぞれ、Your-aurora-cluster-endpoint.cluster-abcdefghxyz.us-east-1.rds.amazonaws.com をクラスターエンドポイントの ARN に、your-db-user をデータベースユーザーに置き換えます。

DB クラスターに TLS を適用してもかまいません。Aurora MySQL 互換では、データベースユーザーレベルで TLS を設定します。Aurora PostgreSQL 互換では、rds.force_ssl パラメータを 1 に設定します。

関連情報

Aurora MySQL DB クラスターへの TLS 接続

SSL/TLS を使用して Aurora PostgreSQL データを保護する

Linux または macOS マシンから、踏み台ホストを使用して Amazon RDS DB インスタンスに接続する方法を教えてください

Amazon RDS コンソールでプライベートとパブリック Aurora エンドポイントを設定する方法を教えてください

AWS公式
AWS公式更新しました 2ヶ月前
コメントはありません

関連するコンテンツ