RDS DBクラスターでのスナップショットへのタグの自動コピーの有効化について

2025.08.15

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。

今回は、Amazon RDS (Relational Database Service) のDBクラスターで、スナップショットへのタグの自動コピーが有効になっていない状態について、そのリスクと対策を解説します。

ポリシーの説明

Amazon RDS の Security Hub コントロール – AWS Security Hub

[RDS.16] Aurora DB クラスターは、タグを DB スナップショットにコピーするように設定する必要があります

このコントロールは、スナップショットの作成時に、Amazon Aurora DB クラスターが DB クラスターのスナップショットにタグを自動的にコピーするように設定されているかどうかを確認します。スナップショットの作成時にクラスターのスナップショットにタグを自動的にコピーするように Aurora DB クラスターが設定されていない場合、コントロールは失敗します。

修復方法

RDS DBクラスターでスナップショットへのタグの自動コピーを有効にする方法は、AWSコンソールまたはTerraformで行えます。この設定は、DBクラスターの作成時または既存のクラスターの修正時に設定できます。

AWSコンソールでの修復手順

AWSコンソールを使用して、RDS DBクラスターのスナップショットへのタグの自動コピーを有効にします。

  1. RDSサービスへ移動: AWSコンソールにログインし、Amazon RDS サービスを開きます。
  2. DBクラスターを選択: 左側のナビゲーションペインで「データベース」を選択し、設定を変更したいDBクラスターを選択します。
  3. 「変更」ボタンをクリック: クラスターの詳細ページで「変更」ボタンをクリックします。
  4. 「データベースオプション」の設定:
    • 変更画面が表示されたら、「DBクラスターのオプション」といったセクションまでスクロールします。
    • タグをスナップショットにコピーする」のチェックボックスにチェックを入れます
  5. 変更の適用:
    • 変更内容を確認し、画面の一番下までスクロールします。変更を適用するタイミングを選択します。「すぐに適用」または「次のメンテナンスウィンドウで適用」を選択します。「変更」ボタンをクリックして、設定を保存します。

これで、以降に作成されるすべての手動スナップショット、および自動スナップショットには、親クラスターと同じタグがコピーされるようになります。

Terraformでの修復手順

TerraformでRDS DBクラスターのスナップショットへのタグの自動コピーを有効にするには、aws_rds_cluster リソースの copy_tags_to_snapshot パラメータを true に設定します。

# (前提) RDS DBクラスターに関連するVPC, サブネットグループ, IAMロール等は別途定義
resource "aws_rds_cluster" "my_rds_cluster" {
  cluster_identifier = "my-secure-db-cluster"
  engine             = "aurora-mysql" # 適切なエンジンを選択
  engine_version     = "8.0.mysql_aurora.3.06.0" # 適切なバージョンを指定
  database_name      = "mydb"
  master_username    = "admin" # デフォルトではないユーザー名
  master_password    = "MyStrongPassw0rd!" # 強力なパスワード

  # **重要: スナップショットへのタグのコピーを有効化**
  copy_tags_to_snapshot = true

  skip_final_snapshot = true
  storage_encrypted   = true # 暗号化も有効にすることを推奨

  tags = {
    Name        = "MyRDSCluster"
    Environment = "Production"
    Owner       = "TeamGamma"
  }
}

# (関連リソースの例)
resource "aws_db_subnet_group" "default" {
  name       = "main-subnet-group"
  subnet_ids = [aws_subnet.private_a.id, aws_subnet.private_b.id]
}
resource "aws_subnet" "private_a" {
  vpc_id     = aws_vpc.main.id
  cidr_block = "10.0.1.0/24"
  availability_zone = "${data.aws_region.current.name}a"
}
resource "aws_vpc" "main" {
  cidr_block = "10.0.0.0/16"
}

上記のTerraformコードでは、aws_rds_cluster リソースの copy_tags_to_snapshot パラメータを true に設定することで、スナップショットへのタグの自動コピーを有効にしています。

  • copy_tags_to_snapshot = true: この設定により、TerraformがDBクラスターをプロビジョニングまたは更新する際に、スナップショットへのタグの自動コピーが有効になります。
  • tags: aws_rds_cluster リソースに付与されたタグが、自動的にスナップショットにもコピーされるようになります。

この変更を適用することで、将来的に取得されるすべてのスナップショットに親クラスターのタグが自動的に付与され、管理とセキュリティの一貫性が保たれます。

最後に

この記事では、Amazon RDS DBクラスターでスナップショットへのタグの自動コピーを有効にすることの重要性について解説しました。この設定は、アクセスポリシーの一貫性を保ち、リソース管理を効率化し、コンプライアンスを遵守する上で不可欠です。 貴社のRDS DBクラスターは、スナップショットにもタグがコピーされるように設定されていますか?この機会にぜひ設定を確認・強化してみてください。 こちらの内容の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。運用が非常にラクに出来る製品になっていますのでぜひ興味がある方はお問い合わせお待ちしております。

最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

この記事をシェアする

クラウドセキュリティ対策実践集一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

見積もりを希望する
資料ダウンロード

料金プランを詳しく見る