Amazon Aurora 安全性 - Amazon Aurora
将 SSL 与 Aurora 数据库集群配合使用
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Aurora 安全性

Amazon Aurora 的安全性在三个级别上进行管理:

  • 要控制可对 Aurora 数据库集群和数据库实例执行 Amazon RDS 托管操作的人员,请使用 Amazon Identity and Access Management (IAM)。使用 IAM 凭证连接到Amazon时,您的Amazon账户必须具有授予执行 Amazon RDS 管理操作所需的权限的 IAM 策略。有关更多信息,请参阅Amazon Aurora 的 Identity and Access Management

    如果要使用 IAM 访问 Amazon RDS 控制台,则必须先使用您的用户凭证登录到 Amazon Web Services Management Console,然后转至 https://console.aws.amazon.com/rds 上的 Amazon RDS 控制台。

  • 必须基于 Amazon VPC 服务在 Virtual Private Cloud (VPC) 中创建 Aurora 数据库集群。要控制哪些设备和 Amazon EC2 实例能够建立与 VPC 中 Aurora 数据库集群的数据库实例的终端节点和端口的连接,请使用 VPC 安全组。您可以使用传输层安全性 (TLS)/安全套接字层 (SSL) 建立这些终端节点和端口连接。此外,公司的防火墙规则也可以控制公司中运行的哪些设备可以建立与数据库实例的连接。有关 VPC 的更多信息,请参阅Amazon VPC 和 Amazon Aurora

  • 要对 Amazon Aurora 数据库集群的登录名和权限进行身份验证,可单独或组合采用以下各种方式。

    • 您可以采用与单独 MySQL 或 PostgreSQL 数据库实例相同的方式。

      对单独 MySQL 或 PostgreSQL 数据库实例的登录名和权限进行身份验证的方法(例如,使用 SQL 命令或修改数据库表)也适用于 Aurora。有关更多信息,请参阅 使用 Amazon Aurora MySQL 实现高安全性使用 Amazon Aurora PostgreSQL 实现高安全性

    • 您可以使用 IAM 数据库身份验证。

      如果采用 IAM 数据库身份验证,您可使用用户或 IAM 角色以及身份验证令牌对您的 Aurora 数据库集群进行身份验证。身份验证令牌是使用签名版本 4 签名流程生成的唯一值。通过使用 IAM 数据库身份验证,您可以使用相同的凭证来控制对 Amazon 资源和数据库的访问。有关更多信息,请参阅 的 IAM 数据库身份验证

    • 您可以对 Aurora PostgreSQL 和 Aurora MySQL 使用 Kerberos 身份验证。

      在用户连接到 Aurora PostgreSQL 和 Aurora MySQL 数据库集群时,您可以使用 Kerberos 对用户进行身份验证。在这种情况下,数据库集群与 Amazon Directory Service for Microsoft Active Directory 配合使用来启用 Kerberos 身份验证。Amazon Directory Service for Microsoft Active Directory 也称为 Amazon Managed Microsoft AD。将所有凭证保存在同一目录中可以节省您的时间和精力。您具有一个集中位置用于存储和管理多个数据库集群的凭证。使用目录还可以改善您的整体安全概要。有关更多信息,请参阅 在 Aurora PostgreSQL 中使用 Kerberos 身份验证对 Aurora MySQL 使用 Kerberos 身份验证

有关配置安全性的信息,请参阅Amazon Aurora 中的安全性

将 SSL 与 Aurora 数据库集群配合使用

Amazon Aurora 数据库集群支持从使用与 Amazon RDS 数据库实例相同的过程和公有密钥的应用程序中建立安全套接字层 (SSL) 连接。有关更多信息,请参阅使用 Amazon Aurora MySQL 实现高安全性使用 Amazon Aurora PostgreSQL 实现高安全性将 TLS/SSL 与 Aurora Serverless v1 结合使用