【Security Hub修復手順】[Neptune.7] Neptune DBクラスターでは、IAM データベース認証が有効になっている必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Neptune.7] Neptune DB クラスターでは、IAM データベース認証が有効になっている必要があります

[Neptune.7] Neptune DB clusters should have IAM database authentication enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

Neptune DBクラスターでIAMデータベース認証を有効化にしているかチェックします。

IAMデータベース認証では、認証はIAMを使用して外部で管理され、認証情報をデータベース設定内に保存する必要がなくなります。

IAMデータベース認証が有効になっている場合、各リクエストは署名バージョン4(SigV4)署名される必要があり、クライアント側の実装が変わります。

IAMと密接に関わる機能になるため、利用可否の判断は開発者・利用者のAWS理解度次第です。

採用コストが高い場合は無効化でも問題ありません。当該コントロールを抑制済みにしてください。

修復手順

Neptune DBクラスターの設定からIAMデータベース認証を有効化します。

その他の設定>IAM DB認証>IAM認証を有効にするを選択します。

IAMデータベース認証を有効にしてもクラスター自体のダウンタイムは発生しませんが、従来のクライアント側の設定では接続できなくなります。

以下では変更のスケジューリング>すぐに適用を選択していますが、システム全体でみるとダウンタイムが発生すると思うので計画的に進めるようにしてください。

ちなみに、クラスターステータスがIAMデータベース認証の設定から利用可能になるまでに2分くらいかかりました。

リファレンス

おわりに

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。