リーダーエンドポイントのみにアクセスを制限する方法

0

下記要件のため、リーダーエンドポイントのみにアクセスを制限する方法を検討しています。

■要件
・アプリ担当者から、障害調査用に本番auroraインスタンスへのSQL実行要求がある
・アプリ担当者によって、本番writeインスタンスへの高負荷なSQLの実行/意図しないSQLの実行によるデータ破壊を防ぎたい
・EC2/aurora以外のマネージド・サービスは社内規則で利用禁止
・AWSコンソールはAWS管理者以外は利用禁止

現時点では下記の方法を検討しています。
■実現方法
・アプリ担当者のみが利用できるEC2インスタンスを払い出し、セキュリティグループで、スレーブインスタンスへのアクセスのみ許可し、EC2上の
psqlクライアントからsqlを実行させる

ただこの方法だと、auroraがfailpverしてしまうと、マスターインスタンスにアクセスされてしまうリスクがあります。
ただし、セキュリティグループによるアクセス制限はインスタンス単位なので、エンドポイントに対するアクセス制限をかける方法はない認識です。

常時リーダーエンドポイントのみにアクセスを制限する方法はあるでしょうか?

makkky
已提问 3 年前146 查看次数
1 回答
0
已接受的回答

要件を確認させていただいたところ、本番の Aurora DB クラスターを使用するのではなく、障害調査が必要な時のみクローンを作成して対応するのが良いのではないかと考えましたがいかがでしょうか?

Aurora DB クラスターボリュームのクローン作成
https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Clone.html

AWSコンソールはAWS管理者以外は利用禁止

ということですが、EC2 での CLI 実行も許容されないのでしょうか?
クローンを作成して作業、完了後にクローンのみ削除できる最小限の権限のみ付与しておき、クローンの作成・削除操作はシェルスクリプトにしておくなどの対応で本番インスタンスへ接続せずに作業が可能になると考えています。

semnil
已回答 3 年前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则