こんにちは!AWS事業本部のおつまみです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[RDS.5] RDS DB インスタンスは、複数のアベイラビリティーゾーンで設定する必要があります
[RDS.5] RDS DB instances should be configured with multiple Availability Zones
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、RDS DB インスタンスの高可用性(マルチAZ構成)が有効になっているかどうかをチェックします。
マルチ AZ 配置では、アベイラビリティーゾーンの可用性に問題がある場合、および RDS の定期メンテナンス中に自動フェイルオーバーを実行できます。
AZ配置によるコストを考慮して、開発環境などでは無効化しても問題ないですが、高可用性が求められる環境では有効化にして下さい。
修復手順
1. ステークホルダーに確認
- ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。
- シングルAZ → マルチAZに変更して問題ないか?
- マルチAZに変更すると、シングルに比べて倍のコストがかかります。
- マルチAZに適用する時間はいつがよいか?
- マルチAZ配置への変換時および変換後のパフォーマンスに大きな影響が出る可能性があります。システム停止時や繁忙時間帯などを避け、適用するようにしましょう。
2. マルチAZ構成への変更
- Amazon RDS コンソールを開きます。
-
ナビゲーションペインで、[データベース] を選択し、変更する DB インスタンスを選択、[変更]ボタンを選択します。
-
RDSの設定変更画面に遷移します。[可用性と耐久性]で、[マルチ AZ 配置] を [スタンバイインスタンスを作成する] を選択します。
-
その他の項目は一切変更せずに画面下部の「続行」を選択します。
-
確認画面に遷移します。内容に間違いがないのを確認し、変更のスケジュールを決めて[DBインスタンスを変更]ボタンを選択します。変更をすぐに適用するには、[すぐに適用] を選択します。
-
以上で設定変更は完了です。RDSインスタンスのステータスが「変更中」から「利用可能」に戻り、マルチAZ「あり」になればOKです。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
参考
[小ネタ] RDSのMulti-AZ構成を切り替える手順 | DevelopersIO
0
