RDS Proxyが2020/6/30にGAされましたね。
最近RDS Proxyに触れる機会があり、サクッと消せるようにCloudFormation(以下CFnと略)を使って構築しました。その時書いたCFnテンプレートを一例としてご紹介します。
RDS Proxyの詳細や運用の勘所については説明しませんので、公式ドキュメントなどを参照してください。
要件
- プロキシ先はAurora
- ユーザとパスワードの一般的な認証
- Secrets Managerを利用
- TLSは必須ではない
CFnテンプレート
テンプレートが100行超えたのでGitHub Gistにアップロードしました。
テンプレートの全容を見たい方はhomoluctus/rds_proxy.ymlを参照してください。
解説
Parameters
Parameters:
# DB Proxy
ProxyName:
Type: String
ProxyEngineFamily:
Type: String
AllowedValues:
- MYSQL
- POSTGRESQL
ProxyIdleClientTimeout:
Type: Number
ProxyRequireTLS:
Type: String
AllowedValues:
- true
- false
Default: false
ProxyVpcSecurityGroupIds:
Type: List<AWS::EC2::SecurityGroup::Id>
ProxyVpcSubnetIds:
Type: List<AWS::EC2::Subnet::Id>
# DB Proxy Target Group
ProxyTargetConnectionBorrowTimeout:
Type: Number
ProxyTargetMaxConnectionsPercent:
Type: Number
ProxyTargetMaxIdleConnectionsPercent:
Type: Number
ProxyTargetDBClusterIdentifiers:
Type: CommaDelimitedList
# Secrets Manager
SecretsManagerRoleName:
Type: String
SecretsManagerName:
Type: String
SecretsManagerKMSKeyId:
Type: String
SecretsManagerManagedPolicyName:
Type: String
Resources
DB Proxy
RDSProxy:
Type: "AWS::RDS::DBProxy"
Properties:
Auth:
# Secrets Managerを利用してユーザ名とパスワードで認証
# 予めSecretsは作成しておく必要があり
- AuthScheme: SECRETS
IAMAuth: DISABLED
SecretArn: !Sub "arn:aws:secretsmanager:${AWS::Region}:${AWS::AccountId}:secret:${SecretsManagerName}"
# 作成するRDS Proxyの名前
DBProxyName: !Ref ProxyName
# 2020/08/17時点でMySQLとPostgreSQLがサポートされている
EngineFamily: !Ref ProxyEngineFamily
# Proxyとクライアント間の接続がアイドル状態の時に接続切断するまでの秒数
IdleClientTimeout: !Ref ProxyIdleClientTimeout
# TLSが必須かどうか
RequireTLS: !Ref ProxyRequireTLS
# RDS Proxyに設定するIAM Role
# 今回はSecrets Managerから値を取得して復号可能なRoleをアタッチ
RoleArn: !GetAtt SecretsManagerRole.Arn
# RDS Proxyにアタッチするセキュリティグループ
VpcSecurityGroupIds: !Ref ProxyVpcSecurityGroupIds
# RDS Proxyを構築するVPC Subnet
VpcSubnetIds: !Ref ProxyVpcSubnetIds
DB Proxy Target Group
今回はRDS Proxyの裏にはRDS Auroraが存在すると仮定します。
RDSProxyTargetGroup:
Type: "AWS::RDS::DBProxyTargetGroup"
Properties:
# コネクションプールの設定
ConnectionPoolConfigurationInfo:
# コネクションプールが使用可能になるまでの待機秒数
# Proxyが使用可能な最大接続数を使い切っていて、その全接続を使用中の場合に適用される
ConnectionBorrowTimeout: !Ref ProxyTargetConnectionBorrowTimeout
# RDS 最大接続数のうちProxyが使用可能な接続数の割合
MaxConnectionsPercent: !Ref ProxyTargetMaxConnectionsPercent
# RDSへの接続数のうちアイドル状態の接続数の割合
# 上限はMaxConnectionsPercentで値が大きければ再度接続するオーバーヘッドが減少する
MaxIdleConnectionsPercent: !Ref ProxyTargetMaxIdleConnectionsPercent
# Proxyが接続するRDS Auroraクラスターの識別子
DBClusterIdentifiers: !Ref ProxyTargetDBClusterIdentifiers
# AWS::RDS::DBProxyで作成したRDS Proxyの名前
DBProxyName: !Ref RDSProxy
# ターゲットグループ名はdefaultを無条件に指定
# 2020/08/17時点ではdefaultであることが必須
TargetGroupName: default
IAM Policy
SecretsManagerManagedPolicy:
# 使いまわせるようにインラインポリシーではなくユーザ管理のポリシーを作成
Type: "AWS::IAM::ManagedPolicy"
Properties:
Description: "Get values from Secrets Manager"
ManagedPolicyName: !Ref SecretsManagerManagedPolicyName
Path: /
PolicyDocument:
Version: "2012-10-17"
Statement:
# Secrets ManagerからRDS Proxy用に作成したSecretsを取得
- Effect: Allow
Action:
- "secretsmanager:GetSecretValue"
Resource: !Sub "arn:aws:secretsmanager:${AWS::Region}:${AWS::AccountId}:secret:${SecretsManagerName}"
# 取得したSecretsを復号する
- Effect: Allow
Action:
- "kms:Decrypt"
Resource: !Sub "arn:aws:kms:${AWS::Region}:${AWS::AccountId}:key/${SecretsManagerKMSKeyId}"
Condition:
StringEquals:
kms:ViaService: !Sub "secretsmanager.${AWS::Region}.amazonaws.com"
IAM Role
SecretsManagerRole:
Type: "AWS::IAM::Role"
Properties:
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
# RoleをRDSに渡す
- Effect: Allow
Principal:
Service:
- "rds.amazonaws.com"
Action:
- "sts:AssumeRole"
Description: "Use for RDS Proxy"
# 作成したユーザ管理ポリシーを指定
ManagedPolicyArns:
- !Ref SecretsManagerManagedPolicy
Path: /
RoleName: !Ref SecretsManagerRoleName
終わりに
アンチパターンとされてきたLambda + RDSの構成を解決するRDS Proxyは素晴らしい
ただSQLによってはピン留めとか発生するのでプロダクションで運用する際には慎重に検討した方がいいでしょう