Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

リーダーエンドポイントのみにアクセスを制限する方法

0

下記要件のため、リーダーエンドポイントのみにアクセスを制限する方法を検討しています。

■要件
・アプリ担当者から、障害調査用に本番auroraインスタンスへのSQL実行要求がある
・アプリ担当者によって、本番writeインスタンスへの高負荷なSQLの実行/意図しないSQLの実行によるデータ破壊を防ぎたい
・EC2/aurora以外のマネージド・サービスは社内規則で利用禁止
・AWSコンソールはAWS管理者以外は利用禁止

現時点では下記の方法を検討しています。
■実現方法
・アプリ担当者のみが利用できるEC2インスタンスを払い出し、セキュリティグループで、スレーブインスタンスへのアクセスのみ許可し、EC2上の
psqlクライアントからsqlを実行させる

ただこの方法だと、auroraがfailpverしてしまうと、マスターインスタンスにアクセスされてしまうリスクがあります。
ただし、セキュリティグループによるアクセス制限はインスタンス単位なので、エンドポイントに対するアクセス制限をかける方法はない認識です。

常時リーダーエンドポイントのみにアクセスを制限する方法はあるでしょうか?

Themen
Migration und ModernisierungAnalysenDatenbank
Tags
Amazon Relational Database ServiceAmazon Aurora
Sprache
日本語
makkky
gefragt vor 3 Jahren166 Aufrufe
1 Antwort
0
Akzeptierte Antwort

要件を確認させていただいたところ、本番の Aurora DB クラスターを使用するのではなく、障害調査が必要な時のみクローンを作成して対応するのが良いのではないかと考えましたがいかがでしょうか?

Aurora DB クラスターボリュームのクローン作成
https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Clone.html

AWSコンソールはAWS管理者以外は利用禁止

ということですが、EC2 での CLI 実行も許容されないのでしょうか?
クローンを作成して作業、完了後にクローンのみ削除できる最小限の権限のみ付与しておき、クローンの作成・削除操作はシェルスクリプトにしておくなどの対応で本番インスタンスへ接続せずに作業が可能になると考えています。

semnil
beantwortet vor 3 Jahren

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt