こんにちは!AWS事業本部のおつまみです。
皆さん、お使いのAWS環境のセキュリティチェックはしていますか?
当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。
本記事の対象コントロール
[RDS.6] RDS DB インスタンスとクラスターの拡張モニタリングを設定する必要があります
[RDS.6] Enhanced monitoring should be configured for RDS DB instances
前提条件
本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。
対象コントロールの説明
このコントロールは、RDS DB インスタンスに対して拡張モニタリングが有効になっているかどうかをチェックします。
RDS の拡張モニタリングを有効化すると、DB インスタンスの OS に関するメトリクスをリアルタイムでモニタリングできるようになります。 一方、有効にすることで CloudWatch Logs へログが保存される料金が課金されます。そのため、重要なワークロードのDBに対しては有効化することを推奨します。
修復手順
1. 対象RDSの確認方法
- AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「RDS.6」を検索します。タイトルを選択します。
-
リソースの欄から失敗しているRDSを確認できます。
2. 拡張モニタリングを有効化する
-
RDS コンソールを開きます。
-
ナビゲーションメニューで [データベース]を選択し、変更するデータベース名を選択します。[変更]を選択します。
-
[モニタリング] で[拡張モニタリングを有効にする] を選択します。
-
[詳細度] プロパティでは、DB インスタンスのメトリクスが収集される間隔 (秒単位)を設定できます。要件に合わせて設定してください。
5. [ロールの作成] プロパティでは、Amazon CloudWatch Logs との通信を Amazon RDS に許可するために作成した IAM ロールに設定するか、[デフォルト] を選択して、RDS によって rds-monitoring-role という名前でロールが作成されるようにします。基本はデフォルトで問題ありません。
6. 変更内容を確認し、[すぐに適用]を選択後、[RDSインスタンスを変更]を選択します。
拡張モニタリングの設定変更のみであれば中断は発生しません。
7. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。
※リソースの更新には数分、ステータスの更新には1日程度かかります。
最後に
今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。
コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう!
最後までお読みいただきありがとうございました!
どなたかのお役に立てれば幸いです。
以上、おつまみ(@AWS11077)でした!
0
