Amazon RDS 是一项托管关系数据库服务,为您提供六种熟悉的数据库引擎供您选择,包括 Amazon Aurora、MySQL、MariaDB、PostgreSQL、Oracle 和 Microsoft SQL Server。
Amazon RDS 和 Amazon Aurora 提供了一组功能,以确保安全地存储和访问您的数据。在 Amazon Virtual Private Cloud (VPC) 中运行数据库以实现网络级隔离。使用安全组控制哪些 IP 地址或 Amazon EC2 实例可以连接到数据库。此内置防火墙可防止任何数据库访问,除非经由您指定的规则。
使用 Amazon Identity and Access Management (IAM) 策略分配权限,以确定允许谁管理 RDS 资源。使用数据库引擎的安全功能来控制谁可以登录到数据库,就像数据库位于本地网络时的操作一样。您还可以将数据库用户映射到 IAM 角色以进行联合访问。
使用安全套接层/传输层安全性 (SSL/TLS) 连接对传输中的数据进行加密。使用 Amazon Key Management Service (KMS) 加密数据库存储和静态备份。监控数据库活动并借助数据库活动流与合作伙伴数据库安全应用程序整合
静态数据加密
Amazon RDS 允许您使用借助 Amazon Key Management Service (KMS) 管理的密钥加密数据库。在通过 Amazon RDS 加密运行的数据库实例上,静态存储于底层存储的数据都将加密,自动备份、只读副本和快照也是如此。RDS 加密使用行业标准 AES-256 加密算法对托管 RDS 实例的服务器上的数据进行加密。
Amazon RDS 还支持针对 SQL Server(SQL Server 企业版)和 Oracle(Oracle 企业版中的 Oracle 高级安全选项)的透明数据加密 (TDE)。
Amazon RDS 通过分析数据库实例的配置和使用量指标来提供最佳实践指导。建议涵盖安全性、加密、IAM 和 VPC 等领域。您可以浏览可用的建议并立即执行建议的操作,将其安排在下一个维护时段,或者完全关闭它。
传输中的数据加密
访问控制
Amazon RDS 与 Amazon Identity and Access Management (IAM) 集成,并使您能够控制您的 Amazon IAM 用户和组可对特定资源(如数据库实例、数据库快照、数据库参数组合数据库事件订阅、数据库选项组)采取的操作。此外,您还可以标记您的资源,并控制您的 IAM 用户和组可以对具有相同标签(和标签值)的资源组采取的操作。有关 IAM 集成的更多信息,请参阅 IAM 数据库身份验证文档。
您还可以标记您的 Amazon RDS 资源,并控制您的 IAM 用户和组可以对具有相同标签和相关值的资源组采取的操作。例如,您可以配置 IAM 规则以确保开发人员能够修改“开发”数据库实例,但只有数据库管理员才能修改“生产”数据库实例。
首次在 Amazon RDS 中创建数据库实例时,您需要创建一个主用户账户,该账户仅在 Amazon RDS 环境中用于控制对数据库实例的访问。主用户账户是本机数据库用户账户,允许您在登录到数据库实例时获得所有数据库权限。在创建数据库实例时,您可以指定与每个数据库实例相关联的主用户账户和密码。创建数据库实例后,您可以使用主用户凭证连接到数据库。之后,您还可以创建其他用户账户,以便限制谁能访问您的数据库实例。
网络隔离和数据库防火墙
使用 Amazon Virtual Private Cloud (VPC),您可以在自己的虚拟网络中隔离数据库实例,然后使用 Direct Connect 连接到现有的 IT 基础设施。
借助 Amazon VPC,您可以通过指定要使用的 IP 范围来隔离数据库实例。在 VPC 中运行 Amazon RDS 可让您在私有子网中获得数据库实例。您也可以设置一个虚拟私有网关,将公司网络扩展到 VPC,然后允许访问该 VPC 中的 RDS 数据库实例。有关更多详细信息,请参阅 Amazon VPC 用户指南。对于 Amazon VPC 内部署的数据库实例,可通过 VPN 或您在公有子网中可以启动的堡垒主机,从 VPC 外部的 Amazon EC2 实例进行访问。要使用堡垒主机,您需要设置一个包含用作 SSH 堡垒的 EC2 实例的公有子网。该公有子网的互联网网关和路由规则必须允许通过 SSH 主机引导流量,然后必须将请求转发到 Amazon RDS 数据库实例的私有 IP 地址。数据库安全组可用于帮助保护 Amazon VPC 内的数据库实例。此外,可以通过网络 ACL 允许或拒绝进出每个子网的网络流量。
数据库活动流
除了外部安全威胁之外,托管式数据库还需要提供保护,以避免数据库管理员 (DBA) 的内部风险。目前 Amazon Aurora 支持的数据库活动流能够提供关系数据库中数据库活动的实时数据流。与第三方数据库活动监控工具集成后,您可以监控和审核数据库活动,以便为数据库提供保护,并满足合规性和监管要求。
数据库活动流通过实施保护模型来控制数据管理员对数据库活动流的访问,从而保护数据库免受内部威胁。因此,数据库活动流的收集、传输、存储和后续处理超出了管理数据库的数据管理员的访问权限。
该流将被推送到代表您的数据库创建的 Amazon Kinesis 数据流。利用 Kinesis Data Firehose,Amazon CloudWatch 或合作伙伴应用程序便可以使用数据库活动流来进行合规性管理。这些合作伙伴应用程序可以使用数据库活动流信息生成警报,并对 Amazon Aurora 数据库上的所有活动进行审核。
您可以在文档页面中详细了解如何将数据库活动流用于兼容 PostgreSQL 和 MySQL 的 Aurora。
合规性
Amazon RDS 致力于为客户提供强大的合规框架、高级工具以及安全措施,客户可以使用这些工具和安全措施来评估合规情况,并说明自身已遵循适用的法律和监管要求。
有关更多信息,请访问亚马逊云科技合规性页面。
