Aurora PostgreSQL CloudWatch Logsの設定手順について

2025.08.15

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。

この記事では、Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要があるという点について、リスクと対策を解説します。Amazon Aurora PostgreSQLのログをCloudWatch Logsに発行することで、セキュリティ監査、パフォーマンス分析、コンプライアンス対応を効果的に実施できます。

ポリシーの説明

Amazon Aurora PostgreSQL互換エディションは、PostgreSQL互換のフルマネージドリレーショナルデータベースエンジンです。CloudWatch Logsへのログエクスポート機能により、データベースのアクティビティを詳細に記録し、運用監視、トラブルシューティング、セキュリティ監査を効率的に行えます。

Aurora PostgreSQLで利用可能なログタイプ:

  • iam-db-auth-error ログ: 認証失敗のエラーログを発行
  • instance ログ: Aurora DBインスタンス自体の動作に関する情報を発行
  • PostgreSQL ログ: 一般的なデータベースログを発行

修復方法

前提条件

CloudWatch Logsへのログ発行を有効化する前に、以下を確認してください:

  • RDSクラスターに関連付けられたサービスロールがCloudWatch Logsへの書き込み権限を持っていること(通常は自動で設定されます)
  • ログの保持期間とコストについて検討済みであること

AWSコンソールでの修復手順

AWSのコンソールを使用して、Aurora PostgreSQLクラスターのログをCloudWatch Logsに発行する設定を行います。

ステップ1: RDSコンソールへのアクセス

  1. AWS管理コンソールにログインします
  2. サービス検索で「RDS」と入力し、「RDS」を選択します
  3. 左側のナビゲーションペインから「データベース」を選択します

ステップ2: Aurora PostgreSQLクラスターの選択

  1. ログエクスポートを設定したいAurora PostgreSQLクラスターを見つけます
  2. クラスター識別子をクリックして詳細ページを開きます

ステップ3: クラスターの変更

  1. 「変更」ボタンをクリックします
  2. 「追加設定」セクションまでスクロールします

ステップ4: ログエクスポートの設定

  1. ログのエクスポートセクションで:
    • iam-db-auth-error ログ: 認証失敗のエラーログを発行
    • instance ログ: Aurora DBインスタンス自体の動作に関する情報を発行
    • PostgreSQL ログ: 一般的なデータベースログを発行

ステップ5: 設定の確認

  1. クラスターのステータスが「利用可能」に戻るまで待ちます(通常5-10分)
  2. CloudWatchコンソールに移動し、ロググループが作成されていることを確認します
    • ロググループ名: /aws/rds/cluster/クラスター名/postgresql

Terraformでの修復手順

Aurora PostgreSQLクラスターのログをCloudWatch Logsに発行する設定をTerraformで実装します。

enabled_cloudwatch_logs_exports で取得したいログを入力します

# Aurora PostgreSQLクラスター
resource "aws_rds_cluster" "postgresql" {
  >>>> skip
  # ログエクスポート設定(重要)
  enabled_cloudwatch_logs_exports = [
    "postgresql"       # PostgreSQLサーバーログ(Aurora PostgreSQLで唯一のエクスポート可能なログタイプ)
  ]
}

まとめ

この記事では、Aurora PostgreSQL DB クラスターでは、ログを CloudWatch Logs に発行する必要がありますについて、リスクと対策を解説しました。CloudWatch Logsへのログ発行により、セキュリティ監査、パフォーマンス分析、トラブルシューティングが大幅に改善されます。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

この記事をシェアする

クラウドセキュリティ対策実践集一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

見積もりを希望する
資料ダウンロード

料金プランを詳しく見る