Secrets Manager のローテーション関数が scram-sha-256 を使用して Aurora PostgreSQL データベースに接続できないのはなぜですか?

簡単な説明

Aurora PostgreSQL バージョン 13 以降のデータベースでは、次の場合にローテーション関数がデータベースに接続できないことがあります。

• データベースは、scram-sha-256 を使用してパスワードを暗号化します。
• ローテーション関数は、libpq ベースのクライアントのバージョン 9 以前を使用します。

重要: 2021 年 12 月 30 日より前に自動シークレットローテーションを設定した場合、ローテーション関数には scram-sha-256 をサポートしない古いバージョンの libpq がバンドルされています。

解決策

以下の手順に従って、scram-sha-256 暗号化を使用しているデータベースユーザーと、ローテーション関数 libpq のバージョンを確認してください。

scram-sha-256 暗号化を使用しているデータベースユーザーを確認する

scram-sha-256 で暗号化されたパスワードを使用しているユーザーを確認するには、AWS ブログ「PostgreSQL 13 用 Amazon リレーショナルデータベースサービスの SCRAM 認証」を参照してください。

ローテーション関数が使用している libpq のバージョンを確認する

1.    Lambda コンソールを開きます。

2.    ナビゲーションペインで、[関数] を選択し、ローテーションに失敗した Lambda 関数の名前を選択します。

3.    [コード] タブを選択します。

4.    [アクション]を選択し、[関数のエクスポート]、[デプロイパッケージのダウンロード] を選択します。

5.    zip ファイルを作業ディレクトリに解凍します。

6.    作業ディレクトリで次の Linux コマンドを実行します。

readelf -a libpq.so.5 | grep RUNPATH

PostgreSQL-9.4.x という文字列、または 10 未満のメジャーバージョンが表示されている場合、ローテーション関数は scram-sha-256 をサポートしていません。

scram-sha-256 をサポートしないローテーション関数の出力例:

0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-9.4.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]
    * Example output for a rotation function that supports scram-sha-256:

scram-sha-256 をサポートするローテーション関数の出力例:

0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-10.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]

データベースが scram-sha-256 を使用していて、出力例でローテーション関数が scram-sha-256 をサポートしていないことが明らかになった場合は、ローテーション関数を再作成する必要があります。

関連情報

AWS Secrets Manager のローテーションに関するトラブルシューティング