【AWS】RDSには二つのセキュリティグループがある

こんにちは。隊長@音楽家兼エンジニア＃今日はエンジニアです。

RDSの設定確認をしていると、CLIからは二つのセキュリティグループが存在することが分かりました。

aws rds describe-db-instances --db-instance-identifier {db-instance-id} | grep SecurityGroup
           "DBSecurityGroups": [],
           "VpcSecurityGroups": [
                   "VpcSecurityGroupId": "{sg-id}",
                   ]

GUI上ではそんな項目なかったはず…
この違いはいったい？

と思って調べてみると、公式ドキュメントに記載がありました。

参考：
DB セキュリティグループとVPC セキュリティグループ

DBセキュリティグループはEC2-Classic専用、で現在は新規作成するとVPCセキュリティグループになるみたいですね。

以下のいずれかが true である場合、EC2-VPC プラットフォームを使用していると思われます (よって、VPC セキュリティグループを使用する必要があります)。

・Amazon RDS の新たな顧客である場合。
・DB インスタンスを以前に作成したことがない場合。
・以前に使用したことのない AWS リージョンで DB インスタンスを作成している場合。

それ以外の場合で、EC2-Classic プラットフォームを使用しているときは、DB セキュリティグループを使用して Amazon RDS DB インスタンスへのアクセスを管理します。DB セキュリティグループと VPC セキュリティグループの違いの詳細については、「セキュリティグループによるアクセスコントロール」を参照してください。

参考：
DB セキュリティグループの操作 (EC2-Classic プラットフォーム)

ということで、これからRDSを作成する場合はVPCセキュリティグループだけ気にすれば良さそうです。
その内DBセキュリティグループの方は廃止されるかもしれませんね。