ある企業が AWS 上でゼロトラストセキュリティモデルを実装しています。「ネットワークの境界を信頼しない」原則に基づき、VPC 内のリソース間の通信も認証・認可を必須にしたいと考えています。特に、EC2 インスタンスとデータベース(RDS)間の通信を、インスタンスの IAM ロールで認証・認可したいと考えています。最も適切な実装はどれですか?
- A. VPC ピアリングを使用せず、RDS を EC2 と同一サブネットに配置してローカル通信のみを許可する
- B. RDS のマスターパスワードを AWS Secrets Manager に格納し、EC2 インスタンスが Secrets Manager から取得して接続する
- C. セキュリティグループのルールで EC2 インスタンスの IP アドレスのみ RDS へのアクセスを許可する
- D. Amazon RDS の IAM データベース認証を有効化し、EC2 インスタンスの IAM ロールに rds-db:connect 権限を付与する。EC2 インスタンスは IAM 認証トークン(有効期限 15 分)を生成してデータベースに接続し、パスワード管理が不要になる。接続のたびに IAM による認証が行われるため、ゼロトラストの「継続的な検証」要件を満たす
解答と解説を見る
正解: D
RDS IAM 認証は IAM ロールベースの認証により、パスワードなしでデータベースに接続できます。IAM トークンの有効期限は 15 分で、接続のたびに IAM による認証が必要なため「継続的な検証」のゼロトラスト原則を満たします。EC2 の IAM ロールが侵害されても、IAM ポリシーの変更で即座にアクセスを取り消せます。 C: セキュリティグループは IP ベースのネットワーク制御であり、ゼロトラストの「アイデンティティベースの認証」ではありません。IP は偽装される可能性があります。 B: Secrets Manager からのパスワード取得は認証情報管理を改善しますが、IAM 認証トークンによる継続的な検証(接続ごとの認証)ではなく、パスワード型認証が残ります。 A: 同一サブネットへの配置はネットワーク分離を弱め、セキュリティを向上させません。ゼロトラストはネットワーク境界ではなくアイデンティティ認証を重視します。
📚 関連サービスの解説: Amazon RDS ・ AWS IAM