Amazon Aurora
Aurora 用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon Aurora 安全性

Amazon Aurora 的安全性在三个级别上进行管理:

  • 要控制可对 Aurora 数据库集群和数据库实例执行 Amazon RDS 托管操作的人员,请使用 AWS Identity and Access Management (IAM)。使用 IAM 凭证连接到 AWS 时,您的 IAM 账户必须具有授予执行 Amazon RDS 管理操作所需的权限的 IAM 策略。有关更多信息,请参阅Amazon Aurora 中的 Identity and Access Management

    如果要使用 IAM 账户访问 Amazon RDS 控制台,则必须先使用您的 IAM 账户登录到 AWS 管理控制台,然后转至 https://console.amazonaws.cn/rds 上的 Amazon RDS 控制台。

  • Aurora 数据库集群必须在 Amazon Virtual Private Cloud (VPC) 中创建。要控制哪些设备和 Amazon EC2 实例能够建立与 VPC 中 Aurora 数据库集群的数据库实例的终端节点和端口的连接,请使用 VPC 安全组。您可以使用传输层安全性 (TLS)/安全套接字层 (SSL) 建立这些终端节点和端口连接。此外,公司的防火墙规则也可以控制公司中运行的哪些设备可以建立与数据库实例的连接。有关 VPC 的更多信息,请参阅Amazon Virtual Private Cloud VPC 和 Amazon Aurora

  • 要对 Amazon Aurora 数据库集群的登录名和权限进行身份验证,可单独或组合采用以下各种方式。

    • 您可以采用与单独 MySQL 或 PostgreSQL 数据库实例相同的方式。

      对单独 MySQL 或 PostgreSQL 数据库实例的登录名和权限进行身份验证的方法(例如,使用 SQL 命令或修改数据库表)也适用于 Aurora。有关更多信息,请参阅 使用 Amazon Aurora MySQL 实现高安全性使用 Amazon Aurora PostgreSQL 实现高安全性

    • 您还可以使用 Aurora MySQL 的 IAM 数据库身份验证。

      如果采用 IAM 数据库身份验证方式,可使用 IAM 用户或 IAM 角色以及身份验证令牌对您的 Aurora MySQL 数据库集群进行身份验证。身份验证令牌是使用签名版本 4 签名流程生成的唯一值。通过使用 IAM 数据库身份验证,您可以使用相同的凭证来控制对 AWS 资源和数据库的访问。有关更多信息,请参阅 的 IAM 数据库身份验证

有关配置安全性的信息,请参阅Amazon Aurora 中的安全性

将 SSL 与 Aurora 数据库集群配合使用

Amazon Aurora 数据库集群支持从使用与 Amazon RDS 数据库实例相同的过程和公有密钥的应用程序中建立安全套接字层 (SSL) 连接。有关更多信息,请参阅使用 Amazon Aurora MySQL 实现高安全性使用 Amazon Aurora PostgreSQL 实现高安全性将 TLS/SSL 与 Aurora Serverless 结合使用