使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

リーダーエンドポイントのみにアクセスを制限する方法

0

下記要件のため、リーダーエンドポイントのみにアクセスを制限する方法を検討しています。

■要件
・アプリ担当者から、障害調査用に本番auroraインスタンスへのSQL実行要求がある
・アプリ担当者によって、本番writeインスタンスへの高負荷なSQLの実行/意図しないSQLの実行によるデータ破壊を防ぎたい
・EC2/aurora以外のマネージド・サービスは社内規則で利用禁止
・AWSコンソールはAWS管理者以外は利用禁止

現時点では下記の方法を検討しています。
■実現方法
・アプリ担当者のみが利用できるEC2インスタンスを払い出し、セキュリティグループで、スレーブインスタンスへのアクセスのみ許可し、EC2上の
psqlクライアントからsqlを実行させる

ただこの方法だと、auroraがfailpverしてしまうと、マスターインスタンスにアクセスされてしまうリスクがあります。
ただし、セキュリティグループによるアクセス制限はインスタンス単位なので、エンドポイントに対するアクセス制限をかける方法はない認識です。

常時リーダーエンドポイントのみにアクセスを制限する方法はあるでしょうか?

主題
遷移與現代化分析資料庫
標籤
Amazon Relational Database ServiceAmazon Aurora
語言
日本語
makkky
已提問 3 年前檢視次數 166 次
1 個回答
0
已接受的答案

要件を確認させていただいたところ、本番の Aurora DB クラスターを使用するのではなく、障害調査が必要な時のみクローンを作成して対応するのが良いのではないかと考えましたがいかがでしょうか?

Aurora DB クラスターボリュームのクローン作成
https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Clone.html

AWSコンソールはAWS管理者以外は利用禁止

ということですが、EC2 での CLI 実行も許容されないのでしょうか?
クローンを作成して作業、完了後にクローンのみ削除できる最小限の権限のみ付与しておき、クローンの作成・削除操作はシェルスクリプトにしておくなどの対応で本番インスタンスへ接続せずに作業が可能になると考えています。

semnil
已回答 3 年前

您尚未登入。 登入 去張貼答案。

一個好的回答可以清楚地回答問題並提供建設性的意見回饋,同時有助於提問者的專業成長。

回答問題指南

相關內容