Upgrade to Pro — share decks privately, control downloads, hide ads and more …

よく考えずにRDSを暗号化したら辛かった話

Manami Nakamura
October 12, 2022
Programming
0
8

 よく考えずにRDSを暗号化したら辛かった話

Manami Nakamura

October 12, 2022
Tweet

More Decks by Manami Nakamura

See All by Manami Nakamura
COMETA®開発の裏側をご紹介
mnmandahalf
0
100
Railsのマイグレーション、どこまで安全にできるか
mnmandahalf
0
5

Other Decks in Programming

See All in Programming
Folding Cheat Sheet #8
philipschwarz
PRO
0
150
2万ページのSSG運用における工夫と注意点 / Vue Fes Japan 2024
chinen
3
1.1k
画像でわかる北島直樹
naoki0917
0
140
知られざるNaNの世界
hole
3
1.1k
cgroup v2 support in Kubeadm
kentatada
0
220
4年間変わらなかった YOUTRUSTのアーキテクチャ
daiki1003
2
710
Prompt Engineering for Developers @ AWS Community Day Adria 2024
slobodan
0
110
Universal Linksの実装方法と陥りがちな罠
kaitokudou
1
200
デバッグの話 / Debugging for Beginners
kaityo256
PRO
8
740
のびしろを広げる巻き込まれ力:偶然を活かすキャリアの作り方/oso2024
takahashiikki
1
290
カスタムしながら理解するGraphQL Connection
yanagii
0
100
Synchronizationを支える技術
s_shimotori
1
120

Featured

See All Featured
RailsConf 2023
tenderlove
28
870
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
355
29k
10 Git Anti Patterns You Should be Aware of
lemiorhan
653
59k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Automating Front-end Workflow
addyosmani
1365
200k
How to train your dragon (web standard)
notwaldorf
88
5.6k
A Philosophy of Restraint
colly
203
16k
Producing Creativity
orderedlist
PRO
341
39k
Build The Right Thing And Hit Your Dates
maggiecrowley
32
2.3k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
664
120k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
26
730
Become a Pro
speakerdeck
PRO
24
4.9k

Transcript

  1. よく考えずに RDSを暗号化したら 辛かった話 mnmandahalf

  2. 今日伝えたいこと • RDSを暗号化するときの注意点 • RDSをTerraform管理するときの注意点 • KMSでキーを作る時の注意点

  3. やりたかったこと • 本番 → ステージングへのDB同期 • 暗号化した本番環境RDSのスナップショットを取得 • ステージングアカウントに共有 •

    ステージング環境でリストア

  4. やりたかったことの図

  5. いざ、ステージングでリストア • 本番のスナップショット関連の権限をステージングで AssumeRoleする準備もできた...と思いきや • KMS周りのポリシーが足りなかった An error occurred (KMSKeyNotAccessibleFault)

    when calling the RestoreDBClusterFromSnapshot operation: The specified KMS key [arn:aws:kms:ap-northeast-1:1122334455:key/11111-22222-3333-44444-55555] does not exist, is not enabled or you do not have permissions to access it. Error: Process completed with exit code 254.

  6. いざ、ステージングでリストア • 本番のIAMからステージングアカウントに AssumeRoleしてもKMSを操作できない • キーポリシーでステージングへの許可が必要 • 元々AWSのマネージドキーで暗号化していたが、AWS のマネージドキーはポリシーを変更できないのでカスタ マーマネージドキーを作る必要がある

    • RDSを作り直す必要がある

  7. 一応RDS再作成の回避方法はある • スナップショットを別のカスタマーマネージドキーで暗号 化する • そのキーをステージングアカウントで操作できるようにす る • 今回は運用前だったので手順をシンプルにすべくRDS を作り直した

  8. いざ、新しいキーでDB再作成も... • RDSのterraform destroy ができない • 削除するとは思ってなかったので、 skip_final_snapshot = falseなのに

    final_snapshot_identifierを指定してなかった • skip_final_snapshotと final_snapshot_identifierはニコイチ

  9. その後、KMSキーの作成でハマる • ドキュメント通りに作ったかと思いきや... • “The new key policy will not

    allow you to update the key policy in the future” というエラー が出てキーが作れない Error: error creating KMS Key: MalformedPolicyDocumentException: The new key policy will not allow you to update the key policy in the future.

  10. KMSキーの作成でハマる • プリンシパルに指定したIAMがCreateKeyとPutKey 両方できる必要があるらしい キーポリシーが作成されると、AWS KMS はセーフティチェックを実行します。セーフティ チェックの 1 つが、キーポリシーのプリンシパルに

    CreateKey API と PutKeyPolicy API を実行するために必要な許可があることを確認します。このチェックは、KMS キーが管理 不能になる可能性を排除します。つまり、キーポリシーを変更したりキーを削除したりすること ができないという意味です。

  11. KMSキーの作成でハマる • IAMポリシーとキーポリシーの双方でキーのプリンシパ ルになっているIAMユーザーがCreateKeyとPutKey アクションが許可されている必要がある(今回のポイン ト) • デフォルトのキーポリシーではこれが実現されている

  12. 備考:デフォルトのキーポリシー • ポリシーを明示せずに作成するとデフォルトでrootアカ ウントの全アクションを許可している • 誤ってキーの管理者ユーザーを削除してもキーの操作 ができるようになる { "Sid": "Enable

    IAM policies", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }

  13. まとめ • RDSを暗号化する場合、KMSキーを自前にするか検討 しよう • RDSのterraform destroyはハマりやすい • KMSキーのキーポリシーとIAMポリシーを適切に設定 しよう