暗号化へのアクセス不可状態にある Amazon RDS インスタンスまたは Amazon Aurora クラスターを解決する方法を教えてください。

所要時間2分
0

暗号化へのアクセス不可状態にある Amazon Relational Database Service (Amazon RDS) インスタンスまたは Amazon Aurora クラスターを解決したいです。

簡単な説明

Amazon RDS インスタンスまたは Amazon Aurora クラスターは、AWS Key Management Service (AWS KMS) 暗号化キーにアクセスできない場合、暗号化認証情報にアクセスできないが、回復可能という状態になります。これは、AWS KMS キーがアクティブではなくなった場合か、AWS アカウントが一時停止後に再アクティブ化された場合に発生します。

Amazon RDS インスタンスまたは Amazon Aurora クラスターが 7 日間復旧されなかった場合、そのインスタンスまたはクラスターは、暗号化認証情報にアクセス不可という終了状態に移行します。

この終了状態のクラスターを回復するには、次の 2 つの方法のいずれかをとります。 クラスターをバックアップから復元するか、ポイントインタイムリカバリ (PITR) を実行することができます。これらの各方法では、AWS KMS キーがアクティブ化済みである必要があります。AWS KMS キーが削除されたり紛失したりした場合、データは回復できません。

注: データ損失を防ぐために、暗号化 Amazon RDS インスタンスと Amazon Aurora クラスターでバックアップを有効にするのがベストプラクティスです。詳細については、「DB インスタンスの暗号化が有効かどうかを判断する」および「DB クラスターの暗号化が有効かどうかを判断する」を参照してください。

解決策

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

暗号化認証情報にアクセスできないが、回復可能な状態

暗号化認証情報にアクセスできないが、回復可能状態を解決するには、次の手順を実行します。

  1. AWS KMS キーを保持している AWS アカウントがアクティブであることを確認します。アカウントが一時停止されている場合は、その停止されたアカウントを再度有効化します。

  2. AWS KMS キーが有効であることを確認します。AWS KMS キーが無効になっている場合は、そのキーを有効化します。

  3. AWS KMS キーの削除が予定されているかどうかを確認します。キーの削除が予定されている場合は、そのスケジュールされたキー削除をキャンセルします。

  4. Amazon RDS インスタンスまたは Amazon Aurora クラスターを再起動します。

    Amazon RDS インスタンスを再起動するには、次の start-db-instance コマンドを実行します。

    aws rds start-db-instance --db-instance-identifier example-instance

    注: example-instance は、お使いの Amazon RDS インスタンス名に置き換えてください。

    Amazon Aurora クラスターを再起動するには、次の start-db-cluster コマンドを実行します。

    aws rds start-db-cluster --db-cluster-identifier example-cluster

    注: example-cluster は、お使いの Amazon Aurora クラスター名に置き換えてください。

  5. (オプション) Amazon RDS インスタンスまたは Amazon Aurora クラスターを再起動するために、AWS CloudShell を使用します。

暗号化認証情報にアクセス不可状態

暗号化認証情報にアクセス不可状態状態を解決するには、新規 Amazon RDS インスタンスまたは Amazon Aurora クラスターとしてスナップショットの復元を実行します。または、新しい Amazon RDS インスタンスまたは Amazon Aurora クラスターに対し、指定された期間に PITR を実行します。

暗号化認証情報にアクセス不可状態の Amazon RDS インスタンスまたは Amazon Aurora クラスターを削除する

暗号化認証情報にアクセス不可状態の Amazon RDS インスタンスまたは Amazon Aurora クラスターを削除するには、次の AWS CLI コマンドを実行します。

Amazon RDS インスタンスを削除するには、次の delete-db-instance コマンドを実行します。

aws rds delete-db-instance --db-instance-identifier example-instance --skip-final-snapshot

注: example-instance は、お使いの Amazon RDS インスタンス名に置き換えてください。

Amazon Aurora クラスターを削除するには、次の delete-db-cluster コマンドを実行します。

aws rds delete-db-cluster --db-cluster-identifier example-cluster --skip-final-snapshot

注: example-cluster は、お使いの Amazon Aurora クラスター名に置き換えてください。

上記のコマンドを実行しても Amazon RDS インスタンスまたは Amazon Aurora クラスターが削除されない場合は、AWS サポートにお問い合わせください。

関連情報

Amazon RDS リソースの暗号化

Amazon Aurora リソースの暗号化

AWS公式
AWS公式更新しました 3ヶ月前
コメントはありません

関連するコンテンツ