Upgrade to Pro — share decks privately, control downloads, hide ads and more …

よく考えずにRDSを暗号化したら辛かった話

Manami Nakamura
October 12, 2022
Programming
0
8

 よく考えずにRDSを暗号化したら辛かった話

Manami Nakamura

October 12, 2022
Tweet

More Decks by Manami Nakamura

See All by Manami Nakamura
COMETA®開発の裏側をご紹介
mnmandahalf
0
210
Railsのマイグレーション、どこまで安全にできるか
mnmandahalf
0
5

Other Decks in Programming

See All in Programming
Ethereum_.pdf
nekomatu
0
460
What’s New in Compose Multiplatform - A Live Tour (droidcon London 2024)
zsmb
1
470
macOS でできる リアルタイム動画像処理
biacco42
9
2.4k
Jakarta EE meets AI
ivargrimstad
0
540
リアーキテクチャxDDD 1年間の取り組みと進化
hsawaji
1
220
OSSで起業してもうすぐ10年 / Open Source Conference 2024 Shimane
furukawayasuto
0
100
cmp.Or に感動した
otakakot
2
150
初めてDefinitelyTypedにPRを出した話
syumai
0
410
Jakarta EE meets AI
ivargrimstad
0
610
Creating a Free Video Ad Network on the Edge
mizoguchicoji
0
120
【Kaigi on Rails 2024】YOUTRUST スポンサーLT
krpk1900
1
330
どうして僕の作ったクラスが手続き型と言われなきゃいけないんですか
akikogoto
1
120

Featured

See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Embracing the Ebb and Flow
colly
84
4.5k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
For a Future-Friendly Web
brad_frost
175
9.4k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
Building Adaptive Systems
keathley
38
2.3k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Faster Mobile Websites
deanohume
305
30k
Unsuck your backbone
ammeep
668
57k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
Agile that works and the tools we love
rasmusluckow
327
21k

Transcript

  1. よく考えずに RDSを暗号化したら 辛かった話 mnmandahalf

  2. 今日伝えたいこと • RDSを暗号化するときの注意点 • RDSをTerraform管理するときの注意点 • KMSでキーを作る時の注意点

  3. やりたかったこと • 本番 → ステージングへのDB同期 • 暗号化した本番環境RDSのスナップショットを取得 • ステージングアカウントに共有 •

    ステージング環境でリストア

  4. やりたかったことの図

  5. いざ、ステージングでリストア • 本番のスナップショット関連の権限をステージングで AssumeRoleする準備もできた...と思いきや • KMS周りのポリシーが足りなかった An error occurred (KMSKeyNotAccessibleFault)

    when calling the RestoreDBClusterFromSnapshot operation: The specified KMS key [arn:aws:kms:ap-northeast-1:1122334455:key/11111-22222-3333-44444-55555] does not exist, is not enabled or you do not have permissions to access it. Error: Process completed with exit code 254.

  6. いざ、ステージングでリストア • 本番のIAMからステージングアカウントに AssumeRoleしてもKMSを操作できない • キーポリシーでステージングへの許可が必要 • 元々AWSのマネージドキーで暗号化していたが、AWS のマネージドキーはポリシーを変更できないのでカスタ マーマネージドキーを作る必要がある

    • RDSを作り直す必要がある

  7. 一応RDS再作成の回避方法はある • スナップショットを別のカスタマーマネージドキーで暗号 化する • そのキーをステージングアカウントで操作できるようにす る • 今回は運用前だったので手順をシンプルにすべくRDS を作り直した

  8. いざ、新しいキーでDB再作成も... • RDSのterraform destroy ができない • 削除するとは思ってなかったので、 skip_final_snapshot = falseなのに

    final_snapshot_identifierを指定してなかった • skip_final_snapshotと final_snapshot_identifierはニコイチ

  9. その後、KMSキーの作成でハマる • ドキュメント通りに作ったかと思いきや... • “The new key policy will not

    allow you to update the key policy in the future” というエラー が出てキーが作れない Error: error creating KMS Key: MalformedPolicyDocumentException: The new key policy will not allow you to update the key policy in the future.

  10. KMSキーの作成でハマる • プリンシパルに指定したIAMがCreateKeyとPutKey 両方できる必要があるらしい キーポリシーが作成されると、AWS KMS はセーフティチェックを実行します。セーフティ チェックの 1 つが、キーポリシーのプリンシパルに

    CreateKey API と PutKeyPolicy API を実行するために必要な許可があることを確認します。このチェックは、KMS キーが管理 不能になる可能性を排除します。つまり、キーポリシーを変更したりキーを削除したりすること ができないという意味です。

  11. KMSキーの作成でハマる • IAMポリシーとキーポリシーの双方でキーのプリンシパ ルになっているIAMユーザーがCreateKeyとPutKey アクションが許可されている必要がある(今回のポイン ト) • デフォルトのキーポリシーではこれが実現されている

  12. 備考:デフォルトのキーポリシー • ポリシーを明示せずに作成するとデフォルトでrootアカ ウントの全アクションを許可している • 誤ってキーの管理者ユーザーを削除してもキーの操作 ができるようになる { "Sid": "Enable

    IAM policies", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "kms:*", "Resource": "*" }

  13. まとめ • RDSを暗号化する場合、KMSキーを自前にするか検討 しよう • RDSのterraform destroyはハマりやすい • KMSキーのキーポリシーとIAMポリシーを適切に設定 しよう