こんばんは、小寺です。よくお問い合わせいただくRDSの AuroraのSSL/TLS 証明書の通知の対応方法についてお知らせします。
AWSではセキュリティを重視するため、セキュリティのアップデートとして新しい証明書を提供しています。
どんな通知が届くの?
メール件名は以下です。
[アクションが必要] 2024 年 8 月 22 日までに Amazon RDS 証明書と Amazon Aurora SSL/TLS 証明書を更新してください | [Action required] Update Your Amazon RDS and Amazon Aurora SSL/TLS Certificates by August 22, 2024 [AWS Account: XXXXXXXX] [リージョン名]
2024年8月に期限切れとなる Amazon RDS CA証明書 rds-ca-2019を利用しているAWSアカウントが対象です。
対象のリソースに関しては、メール本文内に「影響を受けるリソースのリストは次のとおりです。」で確認を行うことができます。
実際にAWSマネジメントコンソールで見てみると、rds-ca-2019の表示が変わっていますね。
通知を受け取った場合の対応方法
通知メールにも記載がありますが、概要としては以下の流れで対応します。
- 新しい SSL/TLS 証明書をダウンロードします。
- 新しい SSL/TLS 証明書を使用するようにアプリケーションを更新します。
- DB インスタンスを変更して、証明書を rds-ca-2019 から rds-ca-2019 から rds-ca-rsa2048-g1(利用中の DB エンジンによっては rds-ca-rsa4096-g1、または rds-ca-ecc384-g1) に変更します。
前提条件として、Amazon RDS ProxyとAurora Serverless は AWS Certificate Manager (ACM) の証明書を使用します。
RDS Proxy を使用している場合は、SSL/TLS 証明書を更新するときに、RDS Proxy 接続を使用するアプリケーションの更新を行う必要はありません。
RDSの対応手順
Auroraの対応手順
気になるスケジュール
現時点でのアナウンスでは2024年8月22日が対応期限として設定されています。
デフォルトでDBインスタンスの再起動が必要となるので、計画的に対応が必要です。まずは開発環境などから切り替えを行うことを推奨します。
もし対応しなかった場合どうなるの?
証明書付きSSL/TLS通信を利用していると、RDS データベースへ接続できなくなります。2023年8月31日時点ではAWSからの強制アップデート等の通知は出ていません。