Amazon Aurora MySQL でのセキュリティ

Amazon Aurora MySQL のセキュリティは次の 3 つのレベルで管理されます。

以下のセクションでは、Aurora MySQL DB クラスターとの Aurora MySQL および TLS 接続のユーザーアクセス許可に関する情報を参照してください。

Amazon Aurora MySQL でのマスターユーザー特権

Amazon Aurora MySQL DB インスタンスを作成すると、マスターユーザーには マスターユーザーアカウント権限 にリストされているデフォルト権限が付与されます。

各 DB クラスターに管理サービスを提供するために、DB クラスターの作成時に admin および rdsadmin ユーザーが作成されます。rdsadmin アカウントの削除、名前の変更、パスワードの変更、または権限の変更を行おうとすると、エラーになります。

Aurora MySQL バージョン 2 の DB クラスターでは、DB クラスターの作成時に admin および rdsadmin ユーザーが作成されます。Aurora MySQL バージョン 3 の DB クラスターでは、admin、rdsadmin、および rds_superuser_role ユーザーが作成されます。

Aurora MySQL DB クラスターの管理では、スタンダード的なコマンド kill と kill_query の使用は制限されています。Aurora MySQL DB インスタンスのユーザーセッションまたはクエリを終了するには、Amazon RDS の rds_kill コマンドと rds_kill_query コマンドを代わりに使用します。

Aurora MySQL DB クラスターへの接続

Amazon Aurora MySQL DB クラスターは、RDS for MySQL DB インスタンスと同じプロセスと公開鍵を使用したアプリケーションからの Transport Layer Security (TLS) 接続をサポートします。

Amazon RDS は、Amazon RDS がインスタンスをプロビジョニングするときに、TLS 証明書を作成し、その証明書を DB インスタンスにインストールします。これらの証明書は認証局によって署名されます。TLS 証明書には、なりすまし攻撃から保護するために、TLS 証明書の共通名 (CN) として DB インスタンスのエンドポイントが含まれています。その結果、クライアントがサブジェクト代替名 (SAN) をサポートしている場合は、DB クラスターエンドポイントのみを使用して、TLS を使用する DB クラスターに接続できます。それ以外の場合は、書き込みインスタンスのインスタンスを使用する必要があります。

証明書のダウンロードについては、SSL/TLS を使用した DB クラスターへの接続の暗号化 を参照してください。

TLS での SAN をサポートするクライアントとして、AWS JDBC ドライバーを推奨します。AWS JDBC ドライバーおよびその使用方法の詳細については、「Amazon Web Services (AWS) JDBC ドライバー GitHub リポジトリ」を参照してください。

Aurora MySQL DB クラスターへの TLS 接続の要求

require_secure_transport DB クラスターパラメータを使用することによって、Aurora MySQL DB クラスターへのすべてのユーザー接続が TLS を使用するように要求できます。デフォルトでは、require_secure_transport パラメータが OFF に設定されています。require_secure_transport パラメータを ON に設定して、DB クラスターへの接続で TLS を必須にすることができます。

require_secure_transport パラメータの値は、DB クラスターの DB クラスターパラメータグループを更新することで設定できます。変更を有効にするために、DB クラスターを再起動する必要はありません。パラメータグループの詳細については、「Amazon Aurora のパラメータグループ」を参照してください。

DB クラスターに対して require_secure_transport パラメータが ON に設定されている場合、データベースクライアントが暗号化された接続を確立できれば、データベースクライアントはそのクラスターに接続できます。それ以外の場合は、次のようなエラーメッセージがクライアントに返されます。

MySQL Error 3159 (HY000): Connections using insecure transport are prohibited while --require_secure_transport=ON.

Aurora MySQL の TLS バージョン

Aurora MySQL は Transport Layer Security (TLS) バージョン 1.0、1.1、1.2、および 1.3 をサポートしています。Aurora MySQL バージョン 3.04.0 以降では、TLS 1.3 プロトコルを使用して接続を保護できます。次の表は、Aurora MySQL バージョンの TLS サポートを示しています。

tls_version DB クラスターパラメータを使用して、許可されたプロトコルバージョンを指定できます。ほとんどのクライアントツールまたはデータベースドライバには、同様のクライアントパラメータがあります。古いクライアントの中には、新しい TLS バージョンをサポートしていないものもあります。デフォルトでは、DB クラスターは、サーバーとクライアントの設定の両方で許可されている最高の TLS プロトコルバージョンを使用しようとします。

tls_version DB クラスターパラメータを次のいずれかの値に設定します。

tls_version パラメータは、カンマで区切られたリストの文字列として設定することもできます。TLS 1.2 プロトコルと TLS 1.0 プロトコルの両方を使用する場合は、tls_version パラメータに最下位プロトコルから最上位プロトコルまでのすべてのプロトコルを含める必要があります。この場合、tls_version は次のように設定されます。

tls_version=TLSv1,TLSv1.1,TLSv1.2

DB クラスターのパラメータグループの変更については、「Amazon Aurora の DB クラスターパラメータグループのパラメータの変更」を参照してください。AWS CLI を使用する場合、tls_version DB クラスターのパラメータの変更には、ApplyMethod に pending-reboot を設定している必要があります。アプリケーションのメソッドが pending-reboot の場合は、パラメータグループに関連付けられている DB クラスターを停止および再起動した後に、パラメータの変更が適用されます。

Aurora PostgreSQL DB クラスターへの接続用暗号スイートを設定する

設定可能な暗号スイートを使用すると、データベース接続のセキュリティをより詳細に制御できます。データベースへのクライアント TLS 接続を保護するために許可する暗号スイートのリストを指定できます。設定可能な暗号スイートを使用すると、データベースサーバーが受け入れる接続暗号化を制御できます。これにより、安全でない暗号や非推奨の暗号の使用を防ぐことができます。

設定可能な暗号スイートは、Aurora MySQL バージョン 3 および Aurora MySQL バージョン 2 でサポートされています。接続を暗号化するために許容できる TLS 1.2、TLS 1.1、TLS 1.0 暗号のリストを指定するには、ssl_cipher クラスターパラメータを変更します。AWS Management Console、AWS CLI、または RDS API を使用して、クラスターパラメータグループ内の ssl_cipher パラメータを設定します。

ssl_cipher パラメータを、TLS バージョンのカンマ区切りの暗号値の文字列に設定します。クライアントアプリケーションでは、データベースに接続するときに --ssl-cipher オプションを使用することによって、暗号化接続に使用する暗号を指定できます。データベースへの接続の詳細については、「Amazon Aurora MySQL DB クラスターへの接続」を参照してください。

Aurora MySQL バージョン 3.04.0 以降では、TLS 1.3 暗号スイートを指定できるようになりました。許容される TLS 1.3 暗号スイートを指定するには、パラメータグループの tls_ciphersuites パラメータを変更します。TLS 1.3 では、命名規則が変更され、鍵交換メカニズムと証明書が使用されなくなったため、使用可能な暗号スイートの数が減少しました。tls_ciphersuites パラメータを、カンマ区切りの TLS 1.3 の暗号値の文字列に設定します。

次の表に、サポートされている暗号と、各暗号の TLS 暗号化プロトコルおよび有効な Aurora MySQL エンジンのバージョンを示します。

DB クラスターのパラメータグループの変更については、「Amazon Aurora の DB クラスターパラメータグループのパラメータの変更」を参照してください。CLI を使用して ssl_cipher DB クラスターのパラメータを変更する場合には、ApplyMethod を pending-reboot に設定してください。アプリケーションのメソッドが pending-reboot の場合は、パラメータグループに関連付けられている DB クラスターを停止および再起動した後に、パラメータの変更が適用されます。

また、CLI コマンドの describe-engine-default-cluster-parameters を使用して、特定のパラメータグループファミリーで現在サポートされている暗号スイートを特定することもできます。次の例は、Aurora MySQL バージョン 2 の ssl_cipher クラスターパラメータで許可される値を取得する方法を示しています。

aws rds describe-engine-default-cluster-parameters --db-parameter-group-family aurora-mysql5.7

        ...some output truncated...
	{
		"ParameterName": "ssl_cipher",
		"ParameterValue": "DHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA256,DHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-SHA,DHE-RSA-AES256-SHA256,DHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES256-GCM-SHA384",
		"Description": "The list of permissible ciphers for connection encryption.",
		"Source": "system",
		"ApplyType": "static",
		"DataType": "list",
		"AllowedValues": "DHE-RSA-AES128-SHA,DHE-RSA-AES128-SHA256,DHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-SHA,DHE-RSA-AES256-SHA256,DHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES256-GCM-SHA384",
		"IsModifiable": true,
		"SupportedEngineModes": [
			"provisioned"
		]
	},
       ...some output truncated...

暗号の詳細については、MySQL ドキュメントの「ssl_cipher」を参照してください。暗号スイートの形式の詳細については、OpenSSL ウェブサイトの「openssl 暗号リスト形式」と「openssl 暗号文字列形式」のドキュメントを参照してください。

Aurora MySQL DB クラスターへの接続の暗号化

デフォルトの mysql クライアントを使用して接続を暗号化するには、以下の例のように、--ssl-ca パラメータを使用して mysql クライアントを起動します。

MySQL 5.7 および 8.0 向け:

mysql -h myinstance.123456789012.rds-us-east-1.amazonaws.com
--ssl-ca=full_path_to_CA_certificate --ssl-mode=VERIFY_IDENTITY

MySQL 5.6 向け:

mysql -h myinstance.123456789012.rds-us-east-1.amazonaws.com
--ssl-ca=full_path_to_CA_certificate --ssl-verify-server-cert

full_path_to_CA_certificate を、認証局 (CA) の証明書に対する完全なパスに置き換えます。証明書のダウンロードについては、「SSL/TLS を使用した DB クラスターへの接続の暗号化」を参照してください。

特定のユーザーアカウントに対して TLS 接続を要求できます。例えば、MySQL バージョンに応じて以下のいずれかのステートメントを使用し、ユーザーアカウント encrypted_user に対して TLS 接続を要求できます。

MySQL 5.7 および 8.0 向け:

ALTER USER 'encrypted_user'@'%' REQUIRE SSL;            

MySQL 5.6 向け:

GRANT USAGE ON *.* TO 'encrypted_user'@'%' REQUIRE SSL;

RDS プロキシを使用する場合は、通常のクラスターエンドポイントではなく、プロキシエンドポイントに接続します。Aurora DB クラスターへの直接接続の場合と同様に、プロキシへの SSL/TLS 接続を必須またはオプションにすることができます。RDS プロキシの使用の詳細については、「Amazon RDS Proxy for Aurora の使用」を参照してください。