リーダーエンドポイントのみにアクセスを制限する方法

0

下記要件のため、リーダーエンドポイントのみにアクセスを制限する方法を検討しています。

■要件
・アプリ担当者から、障害調査用に本番auroraインスタンスへのSQL実行要求がある
・アプリ担当者によって、本番writeインスタンスへの高負荷なSQLの実行/意図しないSQLの実行によるデータ破壊を防ぎたい
・EC2/aurora以外のマネージド・サービスは社内規則で利用禁止
・AWSコンソールはAWS管理者以外は利用禁止

現時点では下記の方法を検討しています。
■実現方法
・アプリ担当者のみが利用できるEC2インスタンスを払い出し、セキュリティグループで、スレーブインスタンスへのアクセスのみ許可し、EC2上の
psqlクライアントからsqlを実行させる

ただこの方法だと、auroraがfailpverしてしまうと、マスターインスタンスにアクセスされてしまうリスクがあります。
ただし、セキュリティグループによるアクセス制限はインスタンス単位なので、エンドポイントに対するアクセス制限をかける方法はない認識です。

常時リーダーエンドポイントのみにアクセスを制限する方法はあるでしょうか?

makkky
質問済み 3年前146ビュー
1回答
0
承認された回答

要件を確認させていただいたところ、本番の Aurora DB クラスターを使用するのではなく、障害調査が必要な時のみクローンを作成して対応するのが良いのではないかと考えましたがいかがでしょうか?

Aurora DB クラスターボリュームのクローン作成
https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/Aurora.Managing.Clone.html

AWSコンソールはAWS管理者以外は利用禁止

ということですが、EC2 での CLI 実行も許容されないのでしょうか?
クローンを作成して作業、完了後にクローンのみ削除できる最小限の権限のみ付与しておき、クローンの作成・削除操作はシェルスクリプトにしておくなどの対応で本番インスタンスへ接続せずに作業が可能になると考えています。

semnil
回答済み 3年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ