下記記事についての対応方法を記載致します。
現在RDSにて利用しているSSL/TLS証明書が期限を迎えるため、新しいSSL/TLS証明書へ更新が行われます。
※RDSで利用しているSSL/TLS証明書はAmazon側で用意しているものです。
具体的には、「rds-ca-2015」から「rds-ca-2019」に変更する必要があります。
尚、適用にはRDS再起動が必要です。
■やりたいこと
・RDSへの最新証明書の適用を任意のタイミングで実施(=手動適用)
・RDS再起動はメンテナンスウィンドウで設定した時間帯で実施(=自動適用)
■注意事項
本手順は
「SSL/TLSプロトコルを使用していない」かつ「突然の再起動が許容できない」場合の手順です。
※アプリケーション側でSSL/TLSプロトコルを使用している場合には、本手順では不足しています。
<前提>
・メンテナンスウィンドウの時間帯は
sun:17:00-sun:17:30 UTC (GMT)
・RDSの再起動は、上記メンテナンスウィンドウ内で実施
■手順
1.AWSマネジメントコンソール⇒RDS⇒データベースを選択し「変更」ボタンをクリック
2.認証機関の項目で”rds-ca-2019”を選択
3.上記2選択時に表示される青枠のInformationは×で閉じる。
4.「DBインスタンスの変更」画面の「変更のスケジュール」で次のラジオボックスを選択し、「DBインスタンスの変更」をクリック
<選択対象のラジオボックス>
次に予定されるメンテナンスウィンドウ中に適用します
上記手順の補足を1点。
メンテナンスウィンドウがセットされているかどうかは以下コマンドで確認可能です。
aws rds describe-db-instances --query "DBInstances[].{DBInstanceIdentifier:DBInstanceIdentifier,PreferredMaintenanceWindow:PreferredMaintenanceWindow,PendingModifiedValues:PendingModifiedValues}"
■補足1
OS再起動を実施しない限り、「rds-ca-2019」が有効になりません。よって、上記手順を実施後から次のメンテナンスウィンドウの時間まで間が空いても問題ありません。
■補足2
上記手順1~4を実施しても、「保留中のメンテナンス」欄の「日付の更新」欄は更新されない場合(=表示が変わらない場合)があります。
つまり、手順を実施しても本当に次のメンテナンスウィンドウの時間帯でOS再起動が実施されるかがはっきりわからず、非常に不安なことに。。。
ただし、表示上の問題のため、手順4で適切な内容のラジオボタンを選択していれば問題ありません。
■補足3
こちらも参考にさせていただきました。
blog.serverworks.co.jp
以上です。