はじめに
少し前のアップデートになりますが、2022年10月にEC2インスタンスとAuroraの自動接続設定ソリューションが追加されました。
「自動接続設定って?」と思われるかもしれませんが、簡単に言ってしまうと自動的にセキュリティグループを生成してアタッチしてくれる仕組みが追加されたようです。
私は普段からIaCでリソースを管理しているので、コンソール上で自動的にセキュリティグループを勝手に生成してアタッチされると少し管理に困る場面があるのですが、簡易的な動作検証の時には便利かもしれませんね。
どんな機能なのか実際に触って確かめてみました。
Aurora作成時の接続設定
この自動接続設定ソリューションですが、Aurora作成時にセキュリティグループを作成する方法と、既存のEC2インスタンスから設定する方法があるようです。
まずはAurora新規作成時の接続設定から見てみます。
Aurora新規作成時に[コンピューティングリソースに接続]という項目があることが確認できました。
ここで、接続対象のEC2インスタンスを設定することで自動的にセキュリティグループが生成されます。
Aurora作成後のEC2インスタンスには[ec2-rds-1]という名前のセキュリティグループがアタッチされていました。
Aurora側には[rds-ec2-1]という名称のセキュリティグループがアタッチされており、こちらで3306ポートを許可しているようです。
なるほど、確かにこれならEC2からAuroraへ接続が可能になりますね。
EC2からの接続設定
EC2インスタンスからの設定は分かりやすく、[アクション]>[ネットワーキング]>[Connect RDS database]を押下すると設定メニューが開きます。
EC2インスタンスからは接続したいDBクラスターorインスタンスを指定してあげることで、同様にセキュリティグループを生成することができます。
本当に便利なのか
このあと色々探してみたんですが、Aurora作成時 / EC2インスタンスのアクションからの指定以外に自動接続設定ソリューションの適用範囲が見つかりませんでした。
実際のシステムには可用性・冗長性を担保するためにAuroScalingグループを採用することが多いと思うのですが、この自動接続ソリューションではAutoScalingと紐付けることができないようです。(おそらく)
そう考えると、自分で明示的にセキュリティグループを作成してアタッチしてあげた方が良い気がしますね。
もちろん、一時的な検証であったりEC2インスタンス単体で実行している状態であればこの機能を使うことができますが、無駄なセキュリティグループがどんどん増えていくことになるのでそこまで便利だとは思えませんでした。
おわりに
「EC2 インスタンスと RDS データベース間の自動接続設定ソリューション」という結構なタイトルだったのでさぞかしすごい機能なのかなと思ったのですが、ちょっと期待外れな感じでした。
ただAWSへの知見が少ないうちは自動生成による最小限のセキュリティグループを使った方が安全ですし、軽い検証や一時的なアクセス経路を開放したいときなんかは使う場面があるのかもしれないですね。
コメントを残す