RDS ProxyをsharedVPC上で作る時にハマった話

Last updated at 2021-08-16Posted at 2020-12-19

2021/8/16追記

本件の事象ですが、
2021年8月6日のアップデートにより解消されました!
この記事は忘備として残させていただきます。

RDS ProxyをsharedVPCより、サブネット共有されたAWSアカウントから作成しようとした際につまったお話です。

以後、
sharedVPCより、サブネット共有されているAWSアカウントを子アカウント。
sharedVPCより、サブネット共有しているAWSアカウントを親アカウントと呼びます。

結論からお話すると、
子アカウントからRDSproxyを作成することはできません。
子アカウントからの作成を試みても、画像のエラーが表示されます。

DBプロキシ　作成のリクエストが失敗しました。
DBProxy cannot be created in shared VPC

IAMポリシーを中心にいろいろと見てみましたが原因がわからず、AWSサポートへ確認しました。

AWSサポートからの回答は、
所有者アクセス権限を持った親アカウントからのみ作成できる内部制約が存在するとのこと。
謎が解けました。

ちなみに、
2020/12/18現在、AWS公式ドキュメントにsharedVPC上の制約を記述されてはおりません。
ご注意くださいませ。

親アカウントにリソースを立て、子アカウントから利用可とする方針にしました。

RDSproxyから接続させたいDB・シークレット・CMKを親アカウント上に作成しました。
IAMロールやセキュリティグループも必要であれば事前に用意しましょう。
※RDSproxy作成時のパラメータとして選択可能とするため。

通常通り、AWSコンソールからRDSproxyを作成してみました。

このままでは子アカウントからシークレットを利用できないため、追加設定が必要です。
下記リンクより、シークレットとCMKのポリシーを改修しました。
AWS アカウント間で AWS Secrets Manager のシークレットを共有するにはどうすればよいですか?

上記3ステップにて、RDSproxyを利用できるようになりました。
最後に、
2020/12/18現在、RDSproxy自体にタグをつけることができません。
コスト配分タグ等、管理を別途考慮する必要がありそうです。