214-AWS SAP AWS 「理論・実践・一問道場」AWS Schema Conversion Tool (SCT)

type

status

date

slug

summary

理論

この問題に関連した本質的な知識は、データベース移行およびパスワード管理に関する内容です。AWSにおけるデータベース移行やパスワードローテーションのベストプラクティスを理解することで、効率的かつ安全なシステム運用が可能になります。以下ではそれぞれのポイントについて詳しく解説します。

1. データベースの移行

AWSでは、さまざまな方法でデータベースをクラウドに移行することができます。特に、Amazon RDSやAmazon EC2を使った移行が一般的です。

Amazon RDS for Oracle

Amazon RDSは、マネージド型のリレーショナルデータベースサービスであり、データベースのセットアップ、運用管理（バックアップ、パッチ適用、スケーリングなど）を簡素化します。特にAmazon RDS for Oracleは、Oracleデータベースをクラウド環境で簡単に実行できるように提供されており、オンプレミスのOracleデータベースからの移行もサポートしています。

データベース移行ツール

*AWS Schema Conversion Tool (SCT)**は、オンプレミスのデータベースをAWSに移行する際に使用されるツールで、異なるデータベース間でスキーマの変換を自動化します。たとえば、OracleからAmazon DynamoDBやAmazon Neptuneなど、異なるデータベースタイプへの移行を容易にします。

2. パスワード管理とローテーション

セキュリティ要件に従って、データベースのパスワードローテーションは重要な課題です。AWSでは、パスワードや認証情報を安全に管理し、定期的なローテーションを自動化するためのサービスが提供されています。

AWS Secrets Manager

AWS Secrets Managerは、機密情報（データベースの認証情報、APIキーなど）を安全に管理するサービスです。Secrets Managerは、自動パスワードローテーションの機能を提供しており、ユーザーが設定したスケジュールに基づいてパスワードを自動的に変更し、更新された認証情報をアプリケーションに提供します。この機能は、セキュリティの維持に重要な役割を果たし、オペレーショナルオーバーヘッドを削減します。

AWS Systems Manager Parameter Store

AWS Systems Manager Parameter Storeは、パスワードや設定情報をセキュアに保存するためのサービスですが、パスワードローテーションの自動化に関しては、AWS Lambda関数を組み合わせる必要があります。Lambdaを使用してパラメータの更新をトリガーすることは可能ですが、Secrets Managerほど簡単には自動化できません。

3. 自動化と運用負荷の削減

問題の要件で最も重要なのは、運用負荷の削減と、自動化です。以下はそれを実現する方法です。

AWS Secrets Managerを使用して、パスワードローテーションを自動化する方法は、運用負荷を最小化する最も効率的な方法です。パスワードの更新と管理が自動で行われ、セキュリティ要件も満たすことができます。

AWS Lambdaを使用して、パスワードローテーションの処理をトリガーすることも可能ですが、AWS Secrets Managerのほうがシンプルで直感的に設定できるため、運用負荷が低く、推奨されます。

4. パスワードローテーションとセキュリティ

定期的なパスワードローテーションは、セキュリティの強化に役立ちます。パスワードを定期的に変更することで、万が一パスワードが漏洩した場合でもリスクを最小限に抑えることができます。

まとめ

この問題では、最も運用負荷が少ない方法として、Amazon RDS for Oracleに移行し、AWS Secrets Managerで自動パスワードローテーションを設定するソリューション（選択肢B）が最適です。このアプローチは、移行の容易さ、安全性、運用の簡便さを兼ね備えており、セキュリティ要件を満たしつつ、手間のかからない運用を実現します。

実践

略

一問道場

問題 #214

トピック:

ある企業は、顧客の取引データベースをオンプレミスからAWSに移行する必要があります。このデータベースは、Linuxサーバー上で実行されているOracle DBインスタンスに格納されています。新しいセキュリティ要件により、企業はデータベースのパスワードを毎年ローテーションしなければなりません。

最も運用負荷が少ない方法でこの要件を満たすソリューションはどれですか？

選択肢:

A. AWSスキーマ変換ツール（AWS SCT）を使用してデータベースをAmazon DynamoDBに変換します。パスワードをAWS Systems Managerパラメーターストアに保存します。Amazon CloudWatchアラームを作成し、毎年のパスワードローテーションのためにAWS Lambda関数を呼び出します。

B. データベースをAmazon RDS for Oracleに移行します。パスワードをAWS Secrets Managerに保存します。自動ローテーションをオンにし、毎年のローテーションスケジュールを設定します。

C. データベースをAmazon EC2インスタンスに移行します。AWS Systems Managerパラメーターストアを使用して接続文字列を保持し、AWS Lambda関数を使用して毎年スケジュールでローテーションします。

D. データベースをAWSスキーマ変換ツール（AWS SCT）を使用してAmazon Neptuneに移行します。Amazon CloudWatchアラームを作成し、毎年のパスワードローテーションのためにAWS Lambda関数を呼び出します。

解説

この問題では、顧客の取引データベースをオンプレミスからAWSに移行し、毎年のパスワードローテーションというセキュリティ要件に対応する方法を求めています。選択肢の中で最も運用負荷が少ないものを選ぶ必要があります。

各選択肢の解説：

選択肢A:

*AWS Schema Conversion Tool (SCT)**を使用して、Amazon DynamoDBにデータを移行する方法です。

ただし、DynamoDBはNoSQLデータベースであり、Oracle DBのリレーショナルデータベースとは大きく異なります。このような移行にはかなりの手間がかかり、既存のデータベースの要件に適していません。

また、パスワードローテーションについては、AWS Systems Manager Parameter Storeで管理し、Lambdaを使ってローテーションする必要があり、少し手間が増えます。

運用負荷が高く、効率的ではないため、適切ではありません。

選択肢B (正解):

Amazon RDS for Oracleにデータベースを移行し、AWS Secrets Managerでパスワードを管理し、自動ローテーションを設定する方法です。

RDS for Oracleは、管理が簡単なマネージド型のリレーショナルデータベースサービスで、Oracle DBに最適化されており、移行後の管理も楽になります。

Secrets Managerを使用することで、パスワードの自動ローテーションが実現でき、運用負荷が非常に低くなります。これにより、セキュリティ要件も満たし、手間がかからず自動的にローテーションされます。

最も運用負荷が少ないため、この選択肢が最適です。

選択肢C:

EC2インスタンス上にデータベースを移行し、AWS Systems Manager Parameter Storeを使ってパスワードを管理する方法です。

EC2インスタンスでデータベースを管理する場合、手動でバックアップやパッチ適用などの運用管理が必要になり、負担が増えます。また、パスワードローテーションのためにLambdaを設定する必要もあり、さらに運用負荷が増えます。

運用が煩雑になり、RDSの方が簡便なので、最適ではありません。

選択肢D:

Amazon Neptuneはグラフデータベースサービスで、Oracle DBとは全く異なるデータベースタイプです。データベース移行において、OracleからNeptuneへの移行は非常に不適切です。

パスワードローテーションに関しても、CloudWatchアラームとLambdaを使ってローテーションを管理する必要がありますが、不必要な複雑さが加わり、運用負荷が高くなります。

選択肢としては不適切です。

結論:

選択肢Bが最も効率的で運用負荷が低いため、正解です。AWSのRDS for Oracleに移行し、Secrets Managerでパスワードローテーションを自動化することで、セキュリティ要件を満たしつつ、運用を簡素化できます。