# Amazon Aurora 中的安全性 Amazon的云安全性的优先级最高。作为 Amazon 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。 安全性是 Amazon 和您的共同责任。[责任共担模式](https://www.amazonaws.cn/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性: + **云的安全性** – Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础架构。Amazon 还向您提供可安全使用的服务。作为 [Amazon 合规性计划](https://www.amazonaws.cn/compliance/programs/)的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon Aurora(Aurora)的合规性计划,请参阅 [Amazon 按合规性计划提供的范围内服务](https://www.amazonaws.cn/compliance/services-in-scope/)。 + **云中的安全性** - 您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。 此文档将帮助您了解如何在使用 Amazon Aurora 时应用责任共担模式。以下主题说明如何配置 Amazon Aurora 以实现您的安全性和合规性目标。您还将了解如何使用其他 Amazon 服务来帮助您监控和保护 Amazon Aurora 资源。 您可以管理对数据库集群上的 Amazon Aurora 资源和数据库的访问。用来管理访问的方法取决于用户需要对 Amazon Aurora 执行的任务类型: + 在基于 Amazon VPC 服务的虚拟私有云(VPC)中运行数据库集群以获得尽可能大的网络访问控制能力。有关在 VPC 中创建数据库集群的更多信息,请参阅 [Amazon VPC 和 Amazon Aurora](USER_VPC.md)。 + 使用 Amazon Identity and Access Management(IAM)策略分配权限,来决定谁可以管理 Amazon Aurora 资源。例如,您可以使用 IAM 确定哪些用户可以创建、描述、修改和删除数据库集群、为资源添加标签或修改安全组。 要查看 IAM 策略示例,请参阅 [Amazon Aurora 的基于身份的策略示例](security_iam_id-based-policy-examples.md)。 + 使用安全组可以控制哪些 IP 地址或 Amazon EC2 实例可连接到数据库集群上的数据库。首次创建数据库集群时,除非通过关联安全组指定的规则进行访问,否则实例防火墙会阻止任何数据库访问。 + 将安全套接字层(SSL)或传输层安全性协议(TLS)连接用于运行 Aurora MySQL 或 Aurora PostgreSQL 的数据库集群。有关将 SSL/TLS 用于数据库集群的更多信息,请参阅 [使用 SSL/TLS 加密与数据库集群的连接](UsingWithRDS.SSL.md)。 + 使用 Amazon Aurora 加密来保护您的数据库数据库集群和静态快照。Amazon Aurora 加密使用行业标准 AES-256 加密算法,来对托管您的数据库集群的服务器上的数据进行加密。有关更多信息,请参阅 [加密 Amazon Aurora 资源](Overview.Encryption.md)。 + 使用数据库引擎的安全功能,控制哪些用户可以登录数据库集群上的数据库。这些功能就像本地网络上的数据库一样工作。 有关 Aurora MySQL 安全性的信息,请参阅 [使用 Amazon Aurora MySQL 实现高安全性](AuroraMySQL.Security.md)。有关 Aurora PostgreSQL 安全性的信息,请参阅 [使用 Amazon Aurora PostgreSQL 实现高安全性](AuroraPostgreSQL.Security.md)。 Aurora 是托管式数据库服务 Amazon Relational Database Service(Amazon RDS)的一部分。Amazon RDS 是一项 Web 服务,让用户能够在云中更轻松地设置、操作和扩展关系数据库。如果您还不熟悉 Amazon RDS,请参阅 [https://docs.amazonaws.cn/AmazonRDS/latest/UserGuide/Welcome.html](https://docs.amazonaws.cn/AmazonRDS/latest/UserGuide/Welcome.html)。 Aurora 包括一个高性能的存储子系统。已自定义其 MySQL 和 PostgreSQL 兼容数据库引擎以利用该快速分布式存储。Aurora 还会自动执行和标准化数据库集群和复制,这通常是数据库配置和管理方面的最大问题。 对于 Amazon RDS 和 Aurora,您可以编程方式访问 RDS API,并且可以使用 Amazon CLI 以交互方式访问 RDS API。一些 RDS API 操作和 Amazon CLI 命令适用于 Amazon RDS 和 Aurora,而其他一些适用于 Amazon RDS 或 Aurora。有关 RDS API 操作的信息,请参阅 [Amazon RDS API 参考](https://docs.amazonaws.cn/AmazonRDS/latest/APIReference/Welcome.html)。有关 Amazon CLI 的更多信息,请参阅[适用于 Amazon RDS 的 Amazon Command Line Interface 参考](https://docs.amazonaws.cn/cli/latest/reference/rds/index.html)。 **注意** 您必须仅为您的使用案例配置安全性。您无需为 Amazon Aurora 管理的过程配置安全访问。这些过程包括创建备份、自动失效转移和其他过程。 有关管理对 Amazon Aurora 资源和您的数据库集群上的数据库的访问的更多信息,请参阅以下主题。 **Topics** + [Amazon Aurora 的数据库身份验证](database-authentication.md) + [使用 Amazon Aurora 和 Amazon Secrets Manager 管理密码](rds-secrets-manager.md) + [Amazon RDS 中的数据保护](DataDurability.md) + [Amazon Aurora 的 Identity and Access Management](UsingWithRDS.IAM.md) + [Amazon Aurora 中的日志记录和监控](Overview.LoggingAndMonitoring.md) + [Amazon Aurora 的合规性验证](RDS-compliance.md) + [Amazon Aurora 中的弹性](disaster-recovery-resiliency.md) + [Amazon Aurora 中的基础设施安全性](infrastructure-security.md) + [Amazon RDS API 和接口 VPC 终端节点 (Amazon PrivateLink)](vpc-interface-endpoints.md) + [Amazon Aurora 的安全最佳实践](CHAP_BestPractices.Security.md) + [使用安全组控制访问权限](Overview.RDSSecurityGroups.md) + [主用户账户权限](UsingWithRDS.MasterAccounts.md) + [将服务相关角色用于 Amazon Aurora](UsingWithRDS.IAM.ServiceLinkedRoles.md) + [Amazon VPC 和 Amazon Aurora](USER_VPC.md)