AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

リーダーエンドポイントのみにアクセスを制限する方法

0

下記要件のため、リーダーエンドポイントのみにアクセスを制限する方法を検討しています。

■要件
・アプリ担当者から、障害調査用に本番auroraインスタンスへのSQL実行要求がある
・アプリ担当者によって、本番writeインスタンスへの高負荷なSQLの実行/意図しないSQLの実行によるデータ破壊を防ぎたい
・EC2/aurora以外のマネージド・サービスは社内規則で利用禁止
・AWSコンソールはAWS管理者以外は利用禁止

現時点では下記の方法を検討しています。
■実現方法
・アプリ担当者のみが利用できるEC2インスタンスを払い出し、セキュリティグループで、スレーブインスタンスへのアクセスのみ許可し、EC2上の
psqlクライアントからsqlを実行させる

ただこの方法だと、auroraがfailpverしてしまうと、マスターインスタンスにアクセスされてしまうリスクがあります。
ただし、セキュリティグループによるアクセス制限はインスタンス単位なので、エンドポイントに対するアクセス制限をかける方法はない認識です。

常時リーダーエンドポイントのみにアクセスを制限する方法はあるでしょうか?

주제
마이그레이션 및 현대화분석데이터베이스
태그
아마존 Relational Database Service아마존 Aurora
언어
日本語
makkky
질문됨 3년 전160회 조회
1개 답변
0
수락된 답변

要件を確認させていただいたところ、本番の Aurora DB クラスターを使用するのではなく、障害調査が必要な時のみクローンを作成して対応するのが良いのではないかと考えましたがいかがでしょうか?

Aurora DB クラスターボリュームのクローン作成
https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Clone.html

AWSコンソールはAWS管理者以外は利用禁止

ということですが、EC2 での CLI 実行も許容されないのでしょうか?
クローンを作成して作業、完了後にクローンのみ削除できる最小限の権限のみ付与しておき、クローンの作成・削除操作はシェルスクリプトにしておくなどの対応で本番インスタンスへ接続せずに作業が可能になると考えています。

semnil
답변함 3년 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠