Amazon Aurora 中的安全性 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Aurora 中的安全性

Amazon 十分重视云安全性。作为 Amazon 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 Amazon 和您的共同责任。责任共担模式将其描述为云安全性和云的安全性:

  • 云的安全性 – Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础设施。Amazon 还向您提供可安全使用的服务。作为 Amazon 合规性计划的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon Aurora (Aurora) 的合规性计划,请参阅合规性计划范围内的Amazon服务

  • 云中的安全性:您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。

此文档将帮助您了解如何在使用 Amazon Aurora 时应用责任共担模型。以下主题说明如何配置 Amazon Aurora 以实现您的安全性和合规性目标。您还将了解如何使用其他Amazon服务来帮助您监控和保护 Amazon Aurora 资源。

您可以管理对数据库集群上的 Amazon Aurora. 资源和数据库的访问。用来管理访问的方法取决于用户需要对 Amazon Aurora 执行的任务类型:

  • 在基于 Amazon VPC 服务的 Virtual Private Cloud (VPC) 中运行数据库集群以获得可能最大的网络访问控制。有关在 VPC 中创建数据库集群的更多信息,请参阅 Amazon VPC 和 Amazon Aurora

  • 使用 Amazon Identity and Access Management(IAM)策略分配决定谁可以管理 Amazon Aurora 资源的权限。例如,您可以使用 IAM 确定可以创建、描述、修改和删除数据库集群、为资源添加标签或修改安全组的人员。

    要查看 IAM policy 示例,请参阅 Amazon Aurora 的基于身份的策略示例

  • 使用安全组可以控制可连接到数据库集群上的数据库的 IP 地址或 Amazon EC2 实例。首次创建数据库集群时,除非通过关联安全组指定的规则进行访问,否则实例防火墙会阻止任何数据库访问。

  • 将安全套接字层 (SSL) 或传输层安全 (TLS) 连接用于运行 Aurora MySQL 或 Aurora PostgreSQL 的数据库集群。有关将 SSL/TLS 用于数据库集群的更多信息,请参阅 使用 SSL/TLS 加密与数据库集群的连接

  • 使用 Amazon Aurora 加密来保护您的数据库集群和静态快照。Amazon Aurora 加密使用行业标准 AES-256 加密算法,来对托管您的数据库集群的服务器上的数据进行加密。有关更多信息,请参阅“加密 Amazon Aurora 资源”。

  • 使用数据库引擎的安全功能控制可以登录数据库集群上的数据库的人员。这些功能就像本地网络上的数据库一样工作。

    有关 Aurora MySQL 安全性的信息,请参阅 使用 Amazon Aurora MySQL 实现高安全性。有关 Aurora PostgreSQL 安全性的信息,请参阅 使用 Amazon Aurora PostgreSQL 实现高安全性

Aurora 是托管式数据库服务 Amazon Relational Database Service(Amazon RDS)的一部分。Amazon RDS 是一项 Web 服务,让用户能够在云中更轻松地设置、操作和扩展关系数据库。如果您还不熟悉 Amazon RDS,请参阅 Amazon RDS 用户指南

Aurora 包括一个高性能的存储子系统。已自定义其 MySQL 和 PostgreSQL 兼容数据库引擎以利用该快速分布式存储。Aurora 还会自动执行和标准化数据库集群和复制,这通常是数据库配置和管理方面的最大问题。

对于 Amazon RDS 和 Aurora,您可以编程方式访问 RDS API,并且可以使用 Amazon CLI 以交互方式访问 RDS API。一些 RDS API 操作和 Amazon CLI 命令适用于 Amazon RDS 和 Aurora,而其他一些适用于 Amazon RDS 或 Aurora。有关 RDS API 操作的信息,请参阅 Amazon RDS API 参考。有关 Amazon CLI 的更多信息,请参阅适用于 Amazon RDS 的 Amazon Command Line Interface 参考

注意

您必须仅为您的使用案例配置安全性。您无需为 Amazon Aurora 管理的过程配置安全访问。这些过程包括创建备份、自动失效转移和其他过程。

有关管理对 Amazon Aurora 资源和您的数据库集群上的数据库的访问的更多信息,请参阅以下主题。