最終のご案内: 3月5日までに Amazon RDS / Aurora / DocumentDB のSSL/TLS証明書を更新してください

Amazon Relational Database Service (RDS)、Amazon Aurora、または Amazon DocumentDB をご使用中のお客様で、データベースインスタンスにSSL/TLS接続している方は、2020年3月5日までにSSL/TLS証明書を更新してください。実行しなかった場合、SSL/TLSでのデータベース接続ができなくなります。

Q. SSL/TLS証明書の更新の手順を教えてください

以下のユーザーガイドを参照してください。

• Amazon Relational Database Service (RDS) ユーザーガイド: SSL/TLS証明書の更新
• Amazon Aurora ユーザーガイド: SSL/TLS証明書の更新
• Amazon DocuemntDB Developer Guide: Updating Your Amazon DocumentDB TLS Certificates

証明書の更新の一環として、データベースの再起動が必要になります。ただし、RDS for Oracle の場合は Oracle Listener のみが再起動されるため、既存のデータベース接続は影響を受けませんが、Listener再起動中は新規接続できません。

Q. AuroraにてIAMデータベース認証を行っています。証明書の更新は必要でしょうか？

Auroraで使用できる AWS Identity and Access Management (IAM) データベース認証は、必ずSSL接続されます。そのため、IAMデータベース認証を行っている場合、3月5日までに証明書の更新を行う必要があります。

Q. Aurora Serverless を使用しています。証明書の更新は必要でしょうか？

Aurora Serverless は証明書を更新する必要がありません。Aurora Serverless では AWS Certificate Manager (ACM) の証明書を使用しているためです。

Q. 古い証明書を使用しているデータベースインスタンスは、どのように特定できるでしょうか？

RDSコンソールの左側ナビゲーションパネルに、Certificate update という項目があります。ここに赤丸の数字が表示されている場合、古い証明書を使用しているインスタンスが存在しますので、Certifcate update を選択してください。対象インスタンスの一覧が表示されます。

この数字はリージョンごとに表示されます。複数のリージョンを使用している場合は、コンソール右上からリージョンを変更し、すべてのリージョンで確認してください。

DocumentDBの場合、DocumentDBコンソールの左側ナビゲーションパネルに、Certificate maintenance という項目があります。ここに赤丸の数字が表示されていた場合、古い証明書を使用しているインスタンスが存在しますので、Certificate maintenance を選択してください。対象インスタンスの一覧が表示されます。

また、以下の Shell Script を使用すれば、最新の証明書を使用していないインスタンスを全リージョンまとめて取得することができます。

for region in `aws ec2 describe-regions --query 'Regions[*].RegionName' --output text`; do
    echo "* $region"
    echo "  * RDS/Aurora"
    AWS_PAGER='' aws rds describe-db-instances \
        --query 'DBInstances[?CACertificateIdentifier!=`rds-ca-2019` && Engine!=`docdb`].[DBInstanceIdentifier, Engine, CACertificateIdentifier]' \
        --region $region;
    echo "  * DocumentDB"
    AWS_PAGER='' aws docdb describe-db-instances \
        --query 'DBInstances[?CACertificateIdentifier!=`rds-ca-2019` && Engine==`docdb`].[DBInstanceIdentifier, Engine, CACertificateIdentifier]' \
        --region $region;
done

Q. SSL接続を使用していません。証明書を更新する必要はありますか？

SSL接続を使用してないことが100%確実である場合は、証明書を更新する必要はありません。

将来のSSL接続のために、証明書を今から配置しておくこともできます。AWS CLI にて--no-certificate-rotation-restartオプションを追加すれば、新しい証明書の配置だけ行い、データベースの再起動は実行しません。この場合、新しい証明書は次回の再起動（計画外も含む）後に使用可能になります。詳しくは AWS CLI Coommand Reference: rds: modify-db-instance を参照してください。

Q. SSL接続を使用しているかどうか分かりません。どのように確認すれば良いでしょうか？

以下のユーザーガイドを参照してください。ただし、SSL接続がまれな場合は、識別できない場合があります。

• RDS for MySQL
• RDS for PostgreSQL
• RDS for Oracle
• RDS for SQL Server
• Aurora MySQL
• Aurora PostgreSQL

Q. 3月5日以降に自動アップデートされて、SSL接続は自動復旧しますか？

されません。SSL接続の手順にはクライアントへの証明書のコピーが含まれます。サーバー側だけでなく、クライアントでお使いの証明書をお客様が更新する必要もあります。

Q. 質問がある場合はどうすれば良いでしょうか？

質問がある場合は、AWSサポートまたはテクニカルアカウントマネージャー (TAM) にお問い合わせください。

（2020/03/02 20:38: 「3月5日以降に自動アップデートされて、SSL接続は自動復旧しますか？」を追加しました）

著者について

柴田竜典（シバタツ）は、アマゾン ウェブ サービス ジャパン のシニアソリューションアーキテクトです。