Amazon RDS 中的安全性
Amazon 十分重视云安全性。作为 Amazon 客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益。
安全性是 Amazon 和您的共同责任。责任共担模式
-
云的安全性 – Amazon负责保护在Amazon云中运行Amazon服务的基础架构。Amazon还向您提供可安全使用的服务。作为 Amazon 合规性计划
的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon RDS 的合规性计划,请参阅合规性计划范围内的Amazon服务 。 -
云中的安全性:您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。
此文档将帮助您了解如何在使用 Amazon RDS 时应用责任共担模型。以下主题说明如何配置 Amazon RDS 以实现您的安全性和合规性目标。您还将了解如何使用其他Amazon服务来帮助您监控和保护 Amazon RDS 资源。
您可以管理对数据库实例上的 Amazon RDS. 资源和数据库的访问。用来管理访问的方法取决于用户需要对 Amazon RDS 执行的任务类型:
-
在基于 Amazon VPC 服务的 Virtual Private Cloud (VPC) 中运行数据库实例以获得可能最大的网络访问控制。有关在 VPC 中创建数据库实例的更多信息,请参阅 Amazon VPC 和 Amazon RDS。
-
使用 Amazon Identity and Access Management(IAM)策略分配决定谁可以管理 Amazon RDS 资源的权限。例如,您可以使用 IAM 确定可以创建、描述、修改和删除数据库实例、为资源添加标签或修改安全组的人员。
-
使用安全组可以控制可连接到数据库实例上的数据库的 IP 地址或 Amazon EC2 实例。首次创建数据库实例时,除非通过关联安全组指定的规则进行访问,否则实例防火墙会阻止任何数据库访问。
-
将安全套接字层(SSL)或传输层安全性协议(TLS)连接用于运行 Db2、MySQL、MariaDB、PostgreSQL、Oracle 或 Microsoft SQL Server 数据库引擎的数据库实例。有关将 SSL/TLS 用于数据库实例的更多信息,请参阅 使用 SSL/TLS 加密与数据库实例或集群的连接。
-
使用 Amazon RDS 加密来保护您的数据库实例和静态快照。Amazon RDS 加密使用行业标准 AES-256 加密算法,来对托管您的数据库实例的服务器上的数据进行加密。有关更多信息,请参阅“加密 Amazon RDS 资源”。
-
对 Oracle 数据库实例使用网络加密和透明数据加密;有关更多信息,请参阅 Oracle 本机网络加密 和 Oracle 透明数据加密
-
使用数据库引擎的安全功能控制可以登录数据库实例上的数据库的人员。这些功能就像本地网络上的数据库一样工作。
注意
您必须仅为您的使用案例配置安全性。您无需为 Amazon RDS 管理的过程配置安全访问。这些过程包括创建备份、在主数据库实例和只读副本之间复制数据以及其他过程。
有关管理对 Amazon RDS 资源和您的数据库实例上的数据库的访问的更多信息,请参阅以下主题。
主题
- Amazon RDS 的数据库身份验证
- 使用 Amazon RDS 和 Amazon Secrets Manager 管理密码
- Amazon RDS 中的数据保护
- Amazon RDS 的 Identity and Access Management
- Amazon RDS 中的日志记录和监控
- Amazon RDS 的合规性验证
- Amazon RDS 中的弹性
- Amazon RDS 中的基础设施安全性
- Amazon RDS API 和接口 VPC 终端节点 (Amazon PrivateLink)
- Amazon RDS 的安全最佳实践
- 使用安全组控制访问权限
- 主用户账户权限
- 将服务相关角色用于 Amazon RDS
- Amazon VPC 和 Amazon RDS