先日RDSのKMSキーをマネージドキー(aws/rds)からカスタムマネージドキーに変更する作業を行ったのですが、RDSのコンソール画面に惑わされて時間がかかってしまったので備忘録として書いておきます。
何に戸惑ったのか
RDSのKMSキー変更の手順はこちらの通りで、
①対象RDSのスナップショットを取得
②そのスナップショットをコピー ※この段階で変更したいキーで暗号化選択を必ず行う
③コピーしたスナップショットからRDSを復元
といった流れで対応します。
何に時間をとられたか、というと
1.②スナップショットのコピーと、③RDS復元の両段階でKMSキーを指定選択するものと認識していた
↓
2.あれ、③RDS復元段階でコンソール画面上KMSキー選択欄がグレーアウトしている…選択できないぞ?!しかも選択されているキーがマネージドキー(aws/rds)のままみたいに見えるぞ?!
↓
3.手順を間違えている?スナップショットのコピー時にKMSキー選択がきちんと出来ていなかった?
そもそもKMSキーのポリシー設定が間違っているとか?…etc別途調査に時間がかかる
↓
4.特に進捗なし。とりあえずえいやで作成してみよう
↓
5.え、問題なく作成できてる…KMSキーもカスタムマネージドキーにちゃんと変更できているな…!
↓
完。(あのコンソール画面は一体なんだったんだ?!)
といった感じで、原因調査に時間がかかってしまいました。検証不足ですね…
Amazon Auroraで以前同様の作業をした際には確か②スナップショットのコピーと、③RDS復元の両段階でやった記憶があったために、まあいけるだろうと検証が中途半端だったことが原因です。
検証してみた
作業は問題なくできたものの、なんだかとても悔しかったので後日検証してみました。
Amazon Auroraとそれ以外(今回はMySQL選択)で比較してみました。
②スナップショットのコピー時
どちらもスナップショットのコピー段階はKMSキー選択必須でした。
③RDS復元時~Amazon Auroraの場合~
復元段階でもKMSキーが選択できるようになっています。
③RDS復元時~Amazon Aurora以外(今回はMySQL)の場合~
KMSキーの選択が出来ない&デフォルトKMSキーであるaws/rdsキーが選択されているように見えます…!!!が、前段階であるスナップショットのコピー時に、指定したいキーでの暗号化を選択できていればこのまま復元を進めて問題ありません(トラップ?)。復元後のRDSでKMSキーが変更できているかは確認お忘れなきよう!
Amazon Auroraの場合:②スナップショットのコピー&③RDS復元時にてKMSキー選択必須!
Amazon Aurora以外の場合:②スナップショットのコピー時のみKMSキー選択必須!
まとめ
ここまでつらつら書いてきて、本事象に関してAWSの公式ドキュメント等に記載があったら大変申し訳ないです(ブログやドキュメント等漁ったのですが見つからず…あれば教えていただけると嬉しいです!)。
以上わたしがハマったRDSコンソール画面に惑わされた話でした。