Upgrade to Pro — share decks privately, control downloads, hide ads and more …

よく考えずにRDSを暗号化したら辛かった話

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Manami Nakamura Manami Nakamura
October 12, 2022
Programming
0
27

 よく考えずにRDSを暗号化したら辛かった話

Avatar for Manami Nakamura

Manami Nakamura

October 12, 2022
Tweet

More Decks by Manami Nakamura

See All by Manami Nakamura
TROCCOで開発生産性を計測してみた
Avatar for Manami Nakamura mnmandahalf
0
110
データカタログのアクセスコントロールを考える
Avatar for Manami Nakamura mnmandahalf
0
48
primeNumberでのRBS導入の現在 && RBS::Traceでinline RBSを拡充してみた
Avatar for Manami Nakamura mnmandahalf
0
580
COMETA®開発の裏側をご紹介
Avatar for Manami Nakamura mnmandahalf
0
960
Railsのマイグレーション、どこまで安全にできるか
Avatar for Manami Nakamura mnmandahalf
0
87

Other Decks in Programming

See All in Programming
今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to Know Now
Avatar for mackey0225 mackey0225
3
390
OCaml 5でモダンな並列プログラミングを Enjoyしよう!
Avatar for Haochen Kotoi-Xie haochenx
0
150
AIによる高速開発をどう制御するか? ガードレール設置で開発速度と品質を両立させたチームの事例
Avatar for tonkotsuboy_com tonkotsuboy_com
7
2.4k
生成AIを活用したソフトウェア開発ライフサイクル変革の現在値
Avatar for Hiroyuki Mori hiroyukimori
PRO
0
110
コントリビューターによるDenoのすゝめ / Deno Recommendations by a Contributor
Avatar for petamoriken / 森建 petamoriken
0
210
Lambda のコードストレージ容量に気をつけましょう
Avatar for tatsuki-yamada tattwan718
0
150
Claude Codeと2つの巻き戻し戦略 / Two Rewind Strategies with Claude Code
Avatar for 果物リン fruitriin
0
150
Python’s True Superpower
Avatar for Hynek Schlawack hynek
0
110
MUSUBIXとは
Avatar for Hisaho nahisaho
0
140
AI によるインシデント初動調査の自動化を行う AI インシデントコマンダーを作った話
Avatar for azukiazusa azukiazusa1
1
750
カスタマーサクセス業務を変革したヘルススコアの実現と学び
Avatar for Tomoyuki Hamaguchi _hummer0724
0
740
Gemini for developers
Avatar for Mete Atamel meteatamel
0
100

Featured

See All Featured
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
Avatar for Katarina Dahlin katarinadahlin
PRO
0
3.4k
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
4.9k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
Avatar for Tech SEO Connect techseoconnect
PRO
0
90
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
0
240
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
51k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
128
17k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
190
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
290
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
21k
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
98

Transcript

  1. よく考えずに RDSを暗号化したら 辛かった話 mnmandahalf

  2. 今日伝えたいこと • RDSを暗号化するときの注意点 • RDSをTerraform管理するときの注意点 • KMSでキーを作る時の注意点

  3. やりたかったこと • 本番 → ステージングへのDB同期 • 暗号化した本番環境RDSのスナップショットを取得 • ステージングアカウントに共有 •

    ステージング環境でリストア

  4. やりたかったことの図

  5. いざ、ステージングでリストア • 本番のスナップショット関連の権限をステージングで AssumeRoleする準備もできた...と思いきや • KMS周りのポリシーが足りなかった An error occurred (KMSKeyNotAccessibleFault)

    when calling the RestoreDBClusterFromSnapshot operation: The specified KMS key [arn:aws:kms:ap-northeast-1:1122334455:key/11111-22222-3333-44444-55555] does not exist, is not enabled or you do not have permissions to access it. Error: Process completed with exit code 254.

  6. いざ、ステージングでリストア • 本番のIAMからステージングアカウントに AssumeRoleしてもKMSを操作できない • キーポリシーでステージングへの許可が必要 • 元々AWSのマネージドキーで暗号化していたが、AWS のマネージドキーはポリシーを変更できないのでカスタ マーマネージドキーを作る必要がある

    • RDSを作り直す必要がある

  7. 一応RDS再作成の回避方法はある • スナップショットを別のカスタマーマネージドキーで暗号 化する • そのキーをステージングアカウントで操作できるようにす る • 今回は運用前だったので手順をシンプルにすべくRDS を作り直した

  8. いざ、新しいキーでDB再作成も... • RDSのterraform destroy ができない • 削除するとは思ってなかったので、 skip_final_snapshot = falseなのに

    final_snapshot_identifierを指定してなかった • skip_final_snapshotと final_snapshot_identifierはニコイチ

  9. その後、KMSキーの作成でハマる • ドキュメント通りに作ったかと思いきや... • “The new key policy will not

    allow you to update the key policy in the future” というエラー が出てキーが作れない Error: error creating KMS Key: MalformedPolicyDocumentException: The new key policy will not allow you to update the key policy in the future.

  10. KMSキーの作成でハマる • プリンシパルに指定したIAMがCreateKeyとPutKey 両方できる必要があるらしい キーポリシーが作成されると、AWS KMS はセーフティチェックを実行します。セーフティ チェックの 1 つが、キーポリシーのプリンシパルに

    CreateKey API と PutKeyPolicy API を実行するために必要な許可があることを確認します。このチェックは、KMS キーが管理 不能になる可能性を排除します。つまり、キーポリシーを変更したりキーを削除したりすること ができないという意味です。

  11. KMSキーの作成でハマる • IAMポリシーとキーポリシーの双方でキーのプリンシパ ルになっているIAMユーザーがCreateKeyとPutKey アクションが許可されている必要がある(今回のポイン ト) • デフォルトのキーポリシーではこれが実現されている

  12. 備考:デフォルトのキーポリシー • ポリシーを明示せずに作成するとデフォルトでrootアカ ウントの全アクションを許可している • 誤ってキーの管理者ユーザーを削除してもキーの操作 ができるようになる { "Sid": "Enable

    IAM policies", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }

  13. まとめ • RDSを暗号化する場合、KMSキーを自前にするか検討 しよう • RDSのterraform destroyはハマりやすい • KMSキーのキーポリシーとIAMポリシーを適切に設定 しよう