Amazon Web Services ブログ
Amazon DocumentDB をご利用中のお客様は 2020 年 2 月 5 日までに TLS 認証を更新ください
Amazon DocumentDB (MongoDB との互換性がある) をご利用のお客様の場合、AWS から TLS 認証のローテーションについてお知らせメールを受信されたことでしょう。Amazon DocumentDB インスタンスの TLS 認定は、Amazon DocumentDB の標準的なメンテナンスとセキュリティのベストプラクティスの一環として、2020 年 3 月 5 日に有効期限が切れます。TLS を使用してクラスターに接続するすべての Amazon DocumentDB のお客様は、有効期限後に接続を維持するために行わなければならない手順があります。このブログ記事では、今後の Amazon DocumentDB 認定の有効期限について詳述し、クラスターが影響を受けるかどうかを確認する方法を説明します。そしてクラスターへの接続を維持するために何をすべきかをお教えします。
現在の状況
Amazon DocumentDB CA およびサーバー認定は、標準メンテナンスおよびセキュリティのベストプラクティスの一部として更新されています。現在のサーバー認定は、2020 年 3 月 5 日に期限切れになります。 2020 年 2 月 5 日から、Amazon DocumentDB クラスターのサーバー認定の更新を開始します。両方の手順をできるだけ早く完了するか、遅くとも 2020 年 2 月 5 日までに完了することを強くお勧めします。2020 年 2 月 5 日までに両方の手順を完了できない場合、クライアントまたはアプリケーションは TLS を使用してデータベースインスタンスに接続できない可能性があります。
また、2020 年 1 月 14 日以降に作成された新しい Amazon DocumentDB クラスターまたはインスタンスには、新しいサーバー認定が含まれます。その時点より前に作成されたすべての Amazon DocumentDB クラスターまたはインスタンスには、(サーバー認定を既に更新していない場合) 古い認定があります。新しいインスタンスまたはクラスターを手動で元の認定に一時的に戻したい場合は、AWS マネジメントコンソールまたは AWS CLI から行うことができます。ただし、上記のように、これらおよび他のすべてのクラスターとインスタンスは更新して、2020 年 2 月 5 日までに新しい認定を使用する必要があります。
よくある質問
質問や問題がある場合はどうすればよいですか?
ご質問や問題がある場合は、AWS サポートにお問い合わせください。
TLS を使用して Amazon DocumentDB クラスターに接続しているかどうかを確認するにはどうすればよいですか?
クラスターでクラスターパラメータグループの TLS パラメータを調べることで、クラスターが TLS を使用しているかどうかを判断できます。TLS パラメータが有効に設定されている場合、クラスターに接続するために TLS 認定を使用しています。詳細については、Amazon DocumentDB クラスターのパラメータグループの管理を参照してください。
CA 認定とサーバー認定を更新する理由は何ですか?
Amazon DocumentDB CA およびサーバー認定は、標準メンテナンスおよびセキュリティのベストプラクティスの一部として更新されています。現在の CA およびサーバー認定は、2020 年 3 月 5 日木曜日に有効期限が切れるように設定されています。
2020 年 3 月 5 日までに行動しないとどうなりますか?
2020 年 2 月 5 日から、2020 年 3 月 5 日の締め切り前に、影響を受ける Amazon DocumentDB インスタンスの認定ローテーションのスケジュールが開始されます。アクションが実行されない場合、アプリケーションは Amazon DocumentDB クラスターとの TLS 接続を確立できません。
どの Amazon DocumentDB インスタンスがまだ古いサーバー認定を使用しているかを知るにはどうすればよいですか?
古いサーバー認定をまだ使用している Amazon DocumentDB インスタンスを識別するには、Amazon DocumentDB AWS マネジメントコンソールまたは AWS CLI を使用できます。詳細な手順については、Amazon DocumentDB TLS 認定の更新を参照してください。
以下は、特定のリージョンの各インスタンスの「認定機関」を識別する例です。以下に、古い「rds-ca-2015」サーバー認定と新しい「rds-ca-2019」サーバー認定の両方を使用したインスタンスの組み合わせを示します。表示されるインスタンスの範囲は、指定されたリージョンのみに適用されることにご注意ください。Amazon DocumentDB を利用するすべてのリージョンを確認してください。
古いサーバー認定をローテーションするために、どの Amazon DocumentDB クラスターに保留中のメンテナンスがあるかを知るにはどうすればよいですか?
サーバー認定ローテーションで保留中のメンテナンスがある Amazon DocumentDB クラスターを識別するには、Amazon DocumentDB AWS マネジメントコンソールまたは AWS CLI を使用できます。詳細な手順については、Amazon DocumentDB TLS 認定の更新を参照してください。
以下は、Amazon DocumentDB マネジメントコンソールで保留中の「認定のメンテナンス」がどのように見えるか、その例を示しています。「8」が書かれた赤い円は、このリージョンで認定のメンテナンスが必要なクラスターが 8 つあることを示しています。「認定のメンテナンス」の範囲は、指定されたリージョンのみであることにご注意ください。Amazon DocumentDB を利用するすべてのリージョンを確認してください。
接続を維持するために、アプリケーションと Amazon DocumentDB クラスターを更新するにはどうすればよいですか?
以下の手順通りに、アプリケーションの CA 認定バンドル (手順 1) とクラスターのサーバー認定 (手順 2) を更新します。本番環境に変更を適用する前に、開発またはステージング環境でこれらの手順をテストすることを強くお勧めします。
注意: Amazon DocumentDB クラスターがある各 AWS リージョンで手順 1 と手順 2 を完了する必要があります。
手順 1: 新しい CA 認定をダウンロードして、アプリケーションを更新します。
新しい CA 認定をダウンロードし、アプリケーションを更新して、新しい CA 認定を使用して Amazon DocumentDB への TLS 接続を作成します。新しい CA 認定バンドルをこちら (https://s3.amazonaws.com/rds-downloads/rds-combined-ca-bundle.pem) からダウンロードします。
次に、アプリケーションを更新して、新しい認定バンドルを使用します。新しい CA バンドルには、古い CA 認定 (rds-ca-2015-root.pem) と新しい CA 認定 (rds-ca-2019-root.pem) の両方が含まれています。新しい CA バンドルに両方の CA 認定があると、2 つの手順でアプリケーションとクラスターを更新できます。
2019 年 9 月 1 日以降の CA 認定バンドルのダウンロードでは、新しい CA 認定バンドルを使用する必要があります。アプリケーションが最新の CA 認定バンドルを使用していることを確認するには、最新の CA バンドルを使用していることを確認する方法を参照してください。 アプリケーションで最新の CA 認定バンドルを既に使用している場合は、手順 2 にスキップできます。
手順 2: サーバー認定を更新します。
新しい CA バンドルを使用するようにアプリケーションが更新されたら、次の手順で Amazon DocumentDB クラスターのサーバー認定を更新します。サーバー認定を更新するには、保留中のメンテナンスアクションを適用してサーバー認定を更新します。
詳細な手順については、Amazon DocumentDB TLS 認定の更新を参照してください。
アプリケーションの中断を防ぐため、両方の手順をできるだけ早く完了するか、遅くとも 2020 年 2 月 5 日までに完了することを強くお勧めします。2020 年 2 月 5 日から、Amazon DocumentDB クラスターのサーバー認定の更新を開始します。2020 年 2 月 5 日までに両方の手順を完了できない場合、クライアントまたはアプリケーションは TLS を使用してデータベースインスタンスに接続できない可能性があります。
TLS を使用してクラスターに接続しない場合でも、各インスタンスを更新する必要がありますか?
TLS を使用して Amazon DocumentDB クラスターに接続していない場合、アクションは必要ありません。クラスターのサーバー認定は、2020 年 3 月 5 日までに、通常のメンテナンス期間中に自動的に更新されます。
期限を 2020 年 3 月 5 日以降に延長できますか?
アプリケーションが TLS 経由で接続している場合、期限は 2020 年 3 月 5 日を超えて延長できません。
CA バンドルの名前に「RDS」が表示されるのはなぜですか?
認定管理などの特定の管理機能では、Amazon DocumentDB は Amazon Relational Database Service (Amazon RDS) と共有される運用技術を使用します。
新しい認定の有効期限はいつまでですか?
新しいサーバー認定は、2024 年 8 月 22 日に期限切れになります。
新しいサーバー認定を適用した場合、古いサーバー認定に戻すことはできますか?
はい、インスタンスを古いサーバー認定に戻す必要がある場合は、クラスター内のすべてのインスタンスに戻すことをお勧めします。AWS マネジメントコンソールまたは AWS CLI を使用して、クラスター内の各インスタンスのサーバー認定を元に戻すことができます。
認定を元に戻す詳細な手順については、Amazon DocumentDB TLS 認定の更新を参照してください。
スナップショットまたは特定時点から復元する場合、新しいサーバー認定を持っていますか?
2020 年 1 月 14 日以降にスナップショットを復元するか、ポイントインタイム復元を実行すると、作成される新しいクラスターは新しいサーバー認定を使用します。
現在は TLS を使用してクラスターに接続していないが、将来的に予定している場合、どうすればよいですか?
2019 年 11 月 1 日より前にクラスターを作成した場合は、前のセクションの手順 1 および手順 2 に従って、アプリケーションが更新された CA バンドルを使用し、各 Amazon DocumentDB インスタンスが最新のサーバー認定を使用していることを確認します。2019 年 11 月 1 日以降にクラスターを作成した場合、クラスターには既に最新のサーバー認定があります。アプリケーションが最新の CA バンドルを使用していることを確認するには、TLS を使用してクラスターに接続していない場合、各インスタンスを更新する必要がありますを参照してください。
著者について
Joseph Idziorek は、アマゾン ウェブ サービスのプリンシパルプロダクトマネージャーです。