Amazon Relational Database Service
用户指南 (API 版本 2014-10-31)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon RDS 中的安全性

AWS 的云安全性的优先级最高。作为 AWS 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。

安全性是 AWS 和您的共同责任。责任共担模型将其描述为云 安全性和云 的安全性:

  • 云的安全性 – AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。AWS 还向您提供可安全使用的服务。作为 AWS 合规性计划的一部分,第三方审计人员将定期测试和验证安全性的有效性。要了解适用于 Amazon RDS 的合规性计划,请参阅合规性计划范围内的 AWS 服务

  • 云中的安全性 – 您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。

此文档将帮助您了解如何在使用 Amazon RDS 时应用责任共担模型。以下主题说明如何配置 Amazon RDS 以实现您的安全性和合规性目标。您还将了解如何使用其他 AWS 服务来帮助您监控和保护您的 Amazon RDS 资源。

您可以管理对数据库实例上的 Amazon RDS 资源和数据库的访问。用来管理访问的方法取决于用户需要对 Amazon RDS 执行的任务类型:

  • 在基于 Amazon VPC 服务的 Virtual Private Cloud (VPC) 中运行数据库实例以获得可能最大的网络访问控制。有关在 VPC 中创建数据库实例的更多信息,请参阅Amazon Virtual Private Cloud VPC 和 Amazon RDS

  • 使用 AWS Identity and Access Management (IAM) 策略分配决定谁可以管理 Amazon RDS 资源的权限。例如,您可以使用 IAM 确定可以创建、描述、修改和删除数据库实例、为资源添加标签或修改安全组的人员。

  • 使用安全组可以控制可连接到数据库实例上的数据库的 IP 地址或 Amazon EC2 实例。首次创建数据库实例时,除非通过关联安全组指定的规则进行访问,否则实例防火墙会阻止任何数据库访问。

  • 使用与运行 MySQL、MariaDB、PostgreSQL、Oracle 或 Microsoft SQL Server 数据库引擎的数据库实例的安全套接字层 (SSL) 连接。有关将 SSL 用于数据库实例的更多信息,请参阅使用 SSL 加密与数据库实例的连接

  • 使用 Amazon RDS 加密保护静态数据库实例和快照。Amazon RDS 加密使用行业标准 AES-256 加密算法对托管数据库实例的服务器上的数据进行加密。有关更多信息,请参阅加密 Amazon RDS 资源

  • 对 Oracle 数据库实例使用网络加密和透明数据加密;有关更多信息,请参阅 Oracle 本机网络加密Oracle 透明数据加密

  • 使用数据库引擎的安全功能控制可以登录数据库实例上的数据库的人员。这些功能就像本地网络上的数据库一样工作。

注意

您只需为您的使用案例配置安全性。您无需配置 Amazon RDS 管理的过程的安全访问。这些过程包括创建备份、在主副本和只读副本之间复制数据以及其他过程。

有关管理对 Amazon RDS 资源和数据库实例上的数据库的访问的更多信息,请参阅以下主题。