トップ > Amazon RDS > 2023年版-RDS と AuroraのSSL/TLS 証明書のメンテナンスアナウンスについて

2023年版-RDS と AuroraのSSL/TLS 証明書のメンテナンスアナウンスについて

Amazon RDS Amazon Aurora
記事タイトルとURLをコピーする

こんにちは。AWS CLI が好きなテクニカルサポート課の市野です。

世間では FIBA バスケットボール・ワールドカップで 17 年ぶりの勝利!ということで盛り上がっていますが、なぜ 17 ?なぜ素数?と思って調べてみたら、4年ごとに開催されることになっているものの 2014 年の次が、1年遅らせた 2019 年開催だったためのようですね。

今回は、こんな感じで IT の世界にも定期的に訪れる作業のうち、RDS および Aurora の SSL/TLS 証明書の期限到来のお知らせについてのご案内と FAQ 記事のご紹介となります。

よくあるご質問

Amazon RDS や Amazon Aurora での SSL/TLS 証明書の更新について、いただくことの多いご質問については、過去に弊社の水本がまとめている以下のエントリに記載があります。
合わせてご確認いただけますと幸いです。

blog.serverworks.co.jp

どのような通知か

2024 年 8 月に期限切れとなる Amazon RDS 認証局証明書 rds-ca-2019 を使用する Amazon RDS または Amazon Aurora データベースインスタンスを利用中の AWS アカウントを対象に [Action required] Update Your Amazon RDS and Amazon Aurora SSL/TLS Certificates by August 22, 2024 [AWS Account: ${AWS_ACCOUNT_ID}] [${AWS_REGION}] の件名で通知が行われています。

何をする必要がありますか?

通知本文中に記載されている AWS 公式ドキュメントにも記載がありますが、ご利用の DB への接続を行なっているクライアント側、および Amazon RDS または Amazon Aurora 側で、以下のような作業が必要となります。

  1. 新しい SSL/TLS 証明書をダウンロードする
  2. 新しい SSL/TLS 証明書を使用するようにアプリケーションを更新する
  3. DB インスタンスを変更して、CA を rds-ca-2019 から rds-ca-rsa2048-g1(利用中の DB エンジンによっては rds-ca-rsa4096-g1、または rds-ca-ecc384-g1) に変更する。

Amazon RDS をお使いの場合の手順

docs.aws.amazon.com

Amazon Aurora をお使いの場合の手順

docs.aws.amazon.com

対応しないとどうなりますか?

証明書検証付きで SSL/TLS を使用している場合、RDS データベースへ接続ができなくなります。

なお、前述の 弊社水本のエントリ 中にも記載がありますが、SSL/TLS のご利用がない場合、AWSが自動的に証明書を置き換えますので、特段のご計画やご対応は不要です。

具体的な期日はいつですか? 延期は可能ですか?

現時点でのアナウンスでは、2024年8月22日 が有効期限とされています。

また、過去の更新の際には AWS 側の事情により有効期限の延長が行われましたが、この流れは通常ではなく、基本的に上記期日をもって SSL/TLS 証明書の切り替えが行われるとお考えいただき、お早めのローテーションの計画策定をおすすめいたします。

対応中 RDS データベースの再起動は発生しますか?

デフォルトでは RDS データベースの再起動が発生するものとお考えください。

厳密には DB エンジンにより挙動が異なり、AWS CLI aws rds describe-db-engine-versions サブコマンドを実行いただき、出力結果中の SupportsCertificateRotationWithoutRestart の値から、再起動の要否を確認することが可能です。

docs.aws.amazon.com

2023-08-31 追記

前回の SSL/TLS 証明書のローテーション作業の発生時( rds-ca-2015 から rds-ca-2019 への変更 )に AWS ブログ で紹介された データベースを再起動せずに証明書を入れ替えられる AWS CLI modify-db-instance サブコマンドのオプション --no-certificate-rotation-restart を用いた更新の有用性は今回も同様です。(前回の CA 証明書のアップデートの際の弊社技術ブログはこちら

まとめ

長らく Amazon RDS や Amazon Aurora を運用されておられる方にとっては、恒例行事となっているところもあるかと思われますが、来年8月のこととはいえお使いの DB インスタンスによってはダウンタイム発生の可能性もある更新となります。

入念なご準備とご計画を進めていただくことをおすすめいたします。

ではまた。

市野 和明 (記事一覧)

マネージドサービス部・テクニカルサポート課

お客様から寄せられたご質問や技術検証を通じて得られた気づきを投稿していきます。

情シスだった前職までの経験で、UI がコロコロ変わる AWS においては GUI で手順を残しているとはなく画面構成が変わってしまって後々まごつくことが多かったので、極力変わりにくい AWS CLI での記事が多めです。