この記事は、AWSからのお知らせ「Using SSL to Encrypt a Connection to a DB Instance」について、弊社にて説明を追加してご案内するものです。
RDSインスタンスへの接続にSSLが利用できます。
RDSのSSL接続についてはこちらの「Q:SSL を用いて、私のアプリケーションと私の DB インスタンスの間の接続を暗号化できますか?」をご覧ください。
このSSL接続に利用されるSSL証明書が2015年3月23日に更新されます。
現在RDSインスタンスにSSL接続を行なっている場合はお早めに新しいSSL証明書に更新してください。
RDSインスタンスにSSL接続をしているかの確認方法
DBエンジンにおいて、下記URLにあるようなDBの接続方法を取っていればSSL接続しています。
対応策
接続にSSLを利用していない場合
何もすることはありません。
接続にSSLを利用している場合
- こちらから新しい証明書をダウンロードします
- RDSインスタンスに接続するクライアントにてダウンロードした証明書を従来のものと入れ替えます。
RDSインスタンスの更新よりクライアント側を先に行ないます。 - 認証を「rds-ca-2010」から「rds-ca-2015」に変更するためにAWSマネジメントコンソールにてRDSインスタンスの更新作業を行ないます。
更新は「Apply Immediately(すぐ適用)」を選択して、即適用されるようにするか、「Apply Immediately」を適用せずに次のメンテナンスウィンドウの日時に適用されるようにします。
更新作業にはRDSインスタンスが再起動されます。2分ほどとされていますが、DBのサイズが大きい場合はより時間がかかる場合があります。
今は接続にSSLを利用していないが将来利用する場合
RDSインスタンスが稼働している裏で3月23日(3月24日)に証明書は入れ替えられます。
入れ替えられますが、有効になっていません。
有効とするためには、上記の「接続にSSLを利用している場合」にあるように、RDSインスタンスの再起動を伴う更新作業を行なう必要があります。