自由気ままに書いちゃおう

好きなことをつらつらと・・・

RDSのSSL/TLS 証明書のアップデート手順について

【Amazon Relational Database Service (RDS)とAmazon AuroraのSSL/TLS 証明書のアップデートについて】
こちらの件についてです。

aws.amazon.com



現在RDSにて利用しているSSL/TLS 証明書が期限を迎えるため、新しいSSL/TLS 証明書へ更新が行われる。
具体的には、「rds-ca-2015」から「rds-ca-2019」に変更する必要がある。

適用にはOS再起動(RDS再起動)が必要。

■やりたいこと
RDSへの最新証明書の適用は任意のタイミングで実施し、OS再起動(=RDSの再起動)はメンテナンスウィンドウで設定した時間帯にて行いたい。

■注意事項
本手順は
「SSL/TLSプロトコルを使用していない」かつ「突然の再起動が許容できない」場合の手順。
※アプリケーション側でSSL/TLSプロトコルを使用している場合には、本手順では不足している。
 
【前提】 
  ・メンテナンスウィンドウの時間帯 
   → sun:17:00-sun:17:30 UTC (GMT) 
  
  ・RDSの再起動は、上記メンテナンスウィンドウ内で実施する 
  
【手順】 
 1.AWSマネジメントコンソール⇒RDS⇒データベースを選択し「変更」ボタンをクリック 
  
 2.認証機関の項目で”rds-ca-2019”を選択 
  
 3.上記2選択時に表示される青枠のInformationは×で閉じる。 
  
 4.「DBインスタンスの変更」画面の「変更のスケジュール」で次のラジオボックスを選択し、「DBインスタンスの変更」をクリック 
  
  <選択対象のラジオボックス> 
   次に予定されるメンテナンスウィンドウ中に適用します
 
 (補足)
 4-1.awscliから下記コマンドを実施することで、次のメンテナンスウィンドウがセットされていることを確認可能。
 # aws rds describe-db-instances --query "DBInstances[].{DBInstanceIdentifier:DBInstanceIdentifier,PreferredMaintenanceWindow:PreferredMaintenanceWindow,PendingModifiedValues:PendingModifiedValues}" 
   
 
■補足1
 OS再起動を実施しない限り、「rds-ca-2019」が有効にならない。よって、上記手順を実施後から次のメンテナンスウィンドウの時間まで間が空いても問題ない
 
■補足2
 上記手順1~4を実施しても、「保留中のメンテナンス」欄の「日付の更新」欄は更新されない場合(=表示が変わらない場合)がある。
 つまり、手順を実施しても本当に次のメンテナンスウィンドウの時間帯でOS再起動が実施されるかがはっきりわからない。
 ただし、表示上の問題のため、手順4で適切な内容のラジオボタンを選択していれば問題ない
 
 
【RDSとAuroraのSSL/TLS 証明書のメンテナンスアナウンスについて】
※こちらも参考にさせていただきました。