RDS データベースインスタンスが暗号化されていないことを確認します
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

RDS データベースインスタンスが暗号化されていないことを確認します

rds

Classification:

コンプライアンス

Set up the rds integration.

概要

説明

AWS RDS データベースインスタンスが暗号化されていることを確認します。

根拠

AWS RDS クラスターを暗号化すると、機密データが不正アクセスから保護されます。

修復

  1. インスタンス識別子クエリと describe-db-instances を実行して RDS データベース名をリストアップします。

    describe-db-instances.sh

        aws rds describe-db-instances
            --query 'DBInstances[*].DBInstanceIdentifier'
        
  2. 調整を希望するデータベースインスタンスと create-db-snapshot を実行します。

    create-db-snapshot.sh

        aws rds create-db-snapshot
            --db-snapshot-identifier my-db-snapshot
            --db-instance-identifier my-db-id
        
  3. list-aliases を実行して、KMS キーのエイリアスをリージョンごとにリストアップします。

    list-aliases.sh

        aws kms list-aliases
            --region us-west-1
        
  4. 手順 3 で返された kms-key-id とともに copy-db-snapshot を実行します。

    copy-db-snapshot.sh

        aws rds copy-db-snapshot
            --region us-west-1
            --source-db-snapshot-identifier original-db-snapshot-id
            --target-db-snapshot-identifier encrypted-db-snapshot-id
            --copy-tags
            --kms-key-id 01234567-1a2b-1234a-b45c-abcdef123456
        
  5. restore-db-instance-from-db-snapshot を実行して、以前に作成されたスナップショットを復元します。

    restore-db-instance.sh

        aws rds restore-db-instance-from-db-snapshot
            --region us-west-1
            --db-instance-identifier encrypted-db-id
            --db-snapshot-identifier encrypted-db-snapshot-id
        
  6. クエリと describe-db-instances を実行して、確実にデータベースを暗号化します。

    describe-db-instances.sh

        aws rds describe-db-instances
            --region us-west-1
            --db-instance-identifier encrypted-db-snapshot-id
            --query 'DBInstances[*].StorageEncrypted'