助け合いフォーラム

AWS

AWS ソリューションアーキテクト - アソシエイト(SAA-C03)
問題ID : 36481
問題を開く
操作ミスによる意図しない削除操作からAmazon RDSデータベースを保護したい。どの機能を利用すれば良いか。

正解

Amazon RDSの削除保護

解説

Amazon RDS データベースやAmazon Auroraデータベースクラスタに対して「削除保護」機能を有効にすると、設定されたデータベースは削除ができなくなります。これにより、ユーザの操作ミスによる意図しない削除操作からデータベースを保護することができます。



したがって正解は、
・Amazon RDSの削除保護
です。

その他の選択肢については、以下のとおりです。

・AWS Shield
DDoS攻撃からの保護に特化したサービスなので、誤りです。

・MFA Delete
S3のオブジェクトを削除する際に、MFA(Multi-Factor Authentication:多要素認証)を要求する機能なので、誤りです。

・Amazon RDSのリードレプリカ
データベース参照時の負荷を軽減するために使用される、読み取り専用のデータベースレプリカ(複製)なので、誤りです。

参考

【AWSのデータベースサービス】
AWSには複数のデータベースサービスがあり、それぞれ異なる特徴があります。


ユーザーは各サービスの特性を理解したうえで最適なものを選択する必要があります。
本項ではAmazon RDSについて解説します。

【Amazon RDS(Relational Database Service)】
RDSは、フルマネージド型のリレーショナルデータベース(関係データベース)サービスです。SQLを用いたデータベースの操作が可能です。
フルマネージド型とは、データベースのスケーリング(拡張、縮小)、ストレージの拡張、高可用性、バックアップ、OS/データベースソフトウェアへのパッチ、サーバーの電源やメンテナンスなどが管理された状態であることをいいます。AWSにおけるフルマネージド型とは、前述の管理がAWSによって行われることを意味します。
RDSを使うことでデータベース管理者はこれらの煩雑な作業から解放され、データベースを効率的に利用することに注力することができます。
ただし、RDSはデータベースが稼働するシステム全体をAWSが管理してくれる代わりに、利用できるデータベースエンジンやバージョンが限定されています。また、データベースエンジンごとに使用が制限されている機能もありますので、利用する際は注意が必要です。

●RDSの特徴
RDSには以下の特徴があります:
 (1) 構築・運用負荷の軽減
 (2) 高可用性
 (3) パフォーマンス
 (4) セキュリティ
 (5) ACID特性

(1) 構築・運用負荷の軽減
以下はRDSの構築画面です(一部抜粋)。

データベースのエンジンのほか、インスタンスクラス、ディスクサイズなどを選択するだけで利用可能になります。
運用時も、データベースのレプリケーション(複製)やバックアップ、スナップショットなど運用に関する操作も上記と同様にGUIによる画面操作が可能です。
また、運用中にデータベースの容量が枯渇した場合も、Auto Scaling(自動スケーリング)機能を有効にすることで自動的に拡張されます。ただし増えたストレージ容量は減らす(ストレージを縮小する)ことはできませんので注意してください。

・データベースの移行
現在利用しているデータベースをRDSへ移行する際も、できるだけ手間が少ないように考慮されています。
例えばMySQLを利用している場合、自社環境に保存されたバックアップデータを利用して移行が行える等の機能が提供されています。
また、スナップショットを用いてデータベースの復元や、データベースの移行(異なるDBエンジンへ移行する)を行う機能も提供されています。


以下はRDS for MySQLのスナップショットからAmazon Auroraへ移行する場合の画面例です。


・スナップショットの共有
RDSでは、データベースを所有しているAWSアカウントとは別のAWSアカウントと、データベースのスナップショットを共有できます。
例えば、AWSアカウントを別に持つ部署でデータベースのコピーが必要だったり、新たに作成するAWSアカウントへデータベースを移行したいような場合は、スナップショットを共有し、共有したAWSアカウントでスナップショットからデータベースを復元するといった運用が可能です。
なお、スナップショットが暗号化されている場合は(「(4) セキュリティ」参照)、KMSキーのキーポリシーの設定で、共有先のアカウントへKMS暗号化キーの使用を許可する必要があります。詳細は分野「KMS/CloudHSM」の「鍵の使用と鍵の共有」を参照してください。

・データベースのパラメータ変更
タイムゾーンや最大接続数、監査ログの有効化など、データベースの設定を変更したい場合、RDSでは「DBパラメータグループ(DBクラスターパラメータグループ)」または「オプショングループ」で定義します。
DBパラメータグループ、オプショングループはDBエンジンごとに作成するパラメータまたはオプションの定義グループで、作成後は複数のデータベース(またはデータベースクラスター)へアタッチできます。

(2) 高可用性
AZ(Availability Zone)を超えたデプロイメント(マルチAZ)で、自動レプリケーション+フェイルオーバーを実現することができます。

マルチAZでは、プライマリDBインスタンスとスタンバイDBインスタンスを2つの異なるAZに1つずつ配置することによって可用性を向上させることができます(リージョンは同一)。
バックアップ側のデータベースはスタンバイ状態で常に同期されているため、フェイルオーバーが発生しても情報の取りこぼしはありません。
またフェイルオーバーは自動的に行われ、運用は継続して行えます。データベースを利用しているアプリケーション側からはスタンバイ側へアクセスを切り替える必要もありません。

マルチAZはデータベースのメンテナンス(OSの更新やパッチの適用など)の時にも役立ちます。
RDSはフルマネージド型のサービスのため、メンテナンスはAWSが行います。メンテナンスの実施時には、まれにデータベースインスタンスの再起動を伴う更新が行われることがあります。データベースインスタンスが再起動している間はサービスが停止します。このようなメンテナンスに伴う運用停止を回避するにはマルチAZ構成を組むことが推奨されています。マルチAZ構成を取ることで、AWSが実行するメンテナンスは以下のように段階的に実行され運用停止なしにメンテナンスを完了することができます。
 1. スタンバイDBインスタンスに対するメンテナンス
 2. スタンバイDBインスタンスをプライマリDBインスタンスへ昇格
 3. 新スタンバイDBインスタンス(旧プライマリDBインスタンス)に対するメンテナンス

マルチAZは、DBインスタンスの作成時に設定することができます。また、既にシングルAZで稼働中のDBインスタンスに対しても、最小限のダウンタイムのみで設定変更ができます。

●マルチAZ DBクラスター
Amazon RDSのマルチAZ DBクラスターは、マルチAZ構成の新しい高可用性オプションです。従来のマルチAZ構成とは異なり、3つのアベイラビリティゾーンにまたがって配置されるため、可用性がさらに強化されています。また、従来のマルチAZ構成ではスタンバイインスタンスにアクセスできませんが、マルチAZ DBクラスターでは2つのスタンバイインスタンスがリードレプリカとしても機能し、読み取りアクセスが可能です。プライマリーインスタンスへの書き込みは、残り2台のリードレプリカに準同期レプリケーションされます。さらに、フェイルオーバー時には通常35秒未満で切り替わるため、アプリケーションのダウンタイムを最小限に抑えることができます。

[マルチAZ DBクラスターのイメージ図]


(3) パフォーマンス
RR(リードレプリカ)という、参照専用のデータベースとして動作するレプリカ(複製)を作ることができます。データベースの参照時にかかる負荷が高い場合、RRを最大15台スケールアウト(処理台数の追加)し、参照時の負荷を分散できます。

マルチAZ((2)参照)を利用してRRを複数のAZに分散したり、異なるリージョンに配置することもできます。

RRは、データベースのインスタンスクラス(EC2における"インスタンスタイプ"と同等)を変更することにより、スケールアップ(拡張)、スケールダウン(縮小)も柔軟に行うことができます。
利用者の多いタイミングでデータベースを一時的に拡張し、利用者が少ないタイミングでは縮小するように運用することにより、リソース(CPU、メモリ、ディスクI/Oやネットワークなど)を無用に消費せずに済みます。
※なお、本項で言及しているスケールアップ/ダウンは、データベースそのもののサイズではなく、データベースインスタンスであることに注意してください。データベースのサイズは拡張は可能ですが、縮小することはできません。

[RDSのストレージタイプ]
RDSのストレージは、基本的には汎用SSDとプロビジョンド(予約済み)IOPSから選択します。
IOPSとはInput Output per Second、つまり1秒間にどれだけI/O(Input/Output:読み取り/書き込み)が行えるかを意味するデータベースの性能指標です。
プロビジョンドIOPSを選択すると、予約したI/O性能をAWSが保証してストレージを提供します。予約したI/O性能が保証されるので、汎用SSDではAWS側の混雑で性能がなかなか出なかったりアクセス集中が日に何度も起きたりして自動スケーリングで対応しきれない場合などでも、想定した性能が保たれるというメリットがあります。
なお、両者の性能値は以下のように示されています:
・汎用SSD: 100~10,000 IOPS
・プロビジョンドIOPS:1,000~30,000 IOPS

(4) セキュリティ
RDSは、Amazon VPC(Virtual Private Cloud:ユーザー用の仮想プライベートネットワーク空間)に対応しています。DBインスタンス作成時にインターネットからの接続をONにしない限りは、VPC内でのみ利用可能なサービスです。
EC2インスタンスからのアクセスを行うパターンでは、RDSのデータベースインスタンス用のセキュリティグループを作成し、EC2インスタンスからのアクセスを許可するルールを作成して接続します。この設定により、ネットワークレベルでのアクセス制御が実現されます。

さらに、アプリケーションサーバーとRDSインスタンス間の通信をSSL/TLSを使用して暗号化することで、両者間のデータ転送が保護され、盗聴や改ざんのリスクが軽減されます。これを実現するには、AWSが提供するルート証明書をダウンロードし、アプリケーションサーバー側でRDSインスタンスへの接続にSSL/TLSを使用するよう設定することで、安全な通信を確保できます。


また、データベースインスタンスは、AWS Key Management Service(KMS)と連携して暗号化を行うこともできます。
※KMSの詳細は、分野「KMS/CloudHSM」を参照してください。
データベースインスタンスの暗号化を行うと、バックアップやスナップショット、ログ、RR(リードレプリカ:参照専用のデータベースレプリカ)へも暗号化が行われます。
暗号化を行う場合はデータベースの作成時に指定します。


データベースの作成後に暗号化を有効にすることはできません。
暗号化されていないデータベースインスタンスを暗号化したい場合は、対象のインスタンスのスナップショットを作成し、スナップショットをコピーする際に暗号化を有効にします。暗号化されたスナップショットを基にデータベースインスタンスを復元すると、暗号化されたデータベースインスタンスが新規に構築されます。

(5) ACID特性
リレーショナルデータベースにはACID特性というものがあります。ACIDとは、原子性(Atomicity)、一貫性(Consistency)、独立性(Isolation)、耐久性(Durability)を意味する言葉で、更新処理中に中途半端なデータが書き込まれないことや、並行処理がそれぞれ独立して動作する(互いに干渉しない)ことなど、処理の信頼性を保証する性質をいいます。RDSもリレーショナルデータベースサービスですので、ACID特性を持っています。

[データベースの削除保護]
Amazon RDS データベースやAmazon Auroraデータベースクラスタに対して「削除保護」機能を有効にすると、設定されたデータベースは削除ができなくなります。これにより、ユーザの操作ミスによる意図しない削除操作からデータベースを保護することができます。


【Amazon RDS Proxy】
Amazon RDS Proxyは、Amazon RDSおよびAmazon Auroraデータベースへの接続を効率的に管理するフルマネージドのプロキシサービスです。RDS Proxyをアプリケーションとデータベースの間に配置することで、データベース接続の管理を効率化し、アプリケーションのパフォーマンス、スケーラビリティ、および可用性を向上させることができます。特に、サーバーレスアーキテクチャやマイクロサービスアーキテクチャで使用されることが多く、頻繁なデータベース接続の確立や切断がパフォーマンスに影響を与えるケースに適しています。

[Amazon RDS Proxyの利用例]


主な特徴は以下です:
1.接続プーリング
RDS Proxyは接続プールを使用して、複数のデータベース接続を効率的に管理します。これにより、アプリケーションがデータベースに新しい接続を頻繁に確立および切断する必要がなくなり、データベースサーバーの負荷が軽減されます。また、一度確立したデータベース接続をプール内で保持し、必要に応じて再利用するため、接続の確立にかかる時間とリソースを節約することができます。

2.フェイルオーバーサポート
RDS Proxyはデータベースのフェイルオーバー時に接続を管理し、新しいデータベースインスタンスに自動的にルーティングします。さらに、マルチAZ配置もサポートしており、アプリケーションのダウンタイムを最小限に抑えることができます。

3.セキュリティ
RDS ProxyはIAMやSecrets Managerと統合して、データベースの認証情報を安全に管理します。これにより、データベース認証情報のセキュリティが強化され、アクセス制御も容易になります。
上に戻る

AWS Shieldについて

投稿日 2024/08/17

AWS Shield
脆弱性を突く攻撃(クロスサイトスクリプティングやSQLインジェクションなど)から、Webアプリケーションを保護するサービスなので、誤りです。
とありますが、AmazonWAFではないでしょうか

スタッフからの返信

s staff_satomi

2024/08/19 10:15

yukounison様 ご指摘の点を修正いたしました。 ご報告いただきまして、誠にありがとうございます。

この投稿に対して返信しませんか?