静态数据加密

Amazon RDS 允许您使用借助 Amazon Key Management Service (KMS) 管理的密钥加密数据库。在通过 Amazon RDS 加密运行的数据库实例上,静态存储于底层存储的数据都将加密,自动备份、只读副本和快照也是如此。RDS 加密使用行业标准 AES-256 加密算法对托管 RDS 实例的服务器上的数据进行加密。

Amazon RDS 还支持针对 SQL Server(SQL Server 企业版)和 Oracle(Oracle 企业版中的 Oracle 高级安全选项)的透明数据加密 (TDE)。

RDS_At_Rest_Encryption
最佳实践建议

Amazon RDS 通过分析数据库实例的配置和使用量指标来提供最佳实践指导。建议涵盖安全性、加密、IAM 和 VPC 等领域。您可以浏览可用的建议并立即执行建议的操作,将其安排在下一个维护时段,或者完全关闭它。

了解详情 »

传输中的数据加密

使用 SSL/TLS 加密应用程序和数据库实例之间的通信。Amazon RDS 会创建 SSL 证书,并在预置实例时在数据库实例上安装该证书。对于 MySQL,您可以使用 --ssl_ca 参数启动 mysql 客户端来引用公钥以加密连接。对于 SQL Server,请下载公钥并将证书导入 Windows 操作系统。RDS for Oracle 将 Oracle 本机网络加密与数据库实例结合使用。您只需将本机网络加密选项添加到选项组,然后将该选项组与数据库实例关联即可。建立加密连接后,在传输时将对数据库实例和应用程序之间传输的数据进行加密。您还可以要求数据库实例只接受加密连接。

访问控制

Amazon RDS 与 Amazon Identity and Access Management (IAM) 集成,并使您能够控制您的 Amazon IAM 用户和组可对特定资源(如数据库实例、数据库快照、数据库参数组合数据库事件订阅、数据库选项组)采取的操作。此外,您还可以标记您的资源,并控制您的 IAM 用户和组可以对具有相同标签(和标签值)的资源组采取的操作。有关 IAM 集成的更多信息,请参阅 IAM 数据库身份验证文档

您还可以标记您的 Amazon RDS 资源,并控制您的 IAM 用户和组可以对具有相同标签和相关值的资源组采取的操作。例如,您可以配置 IAM 规则以确保开发人员能够修改“开发”数据库实例,但只有数据库管理员才能修改“生产”数据库实例。

首次在 Amazon RDS 中创建数据库实例时,您需要创建一个主用户账户,该账户仅在 Amazon RDS 环境中用于控制对数据库实例的访问。主用户账户是本机数据库用户账户,允许您在登录到数据库实例时获得所有数据库权限。在创建数据库实例时,您可以指定与每个数据库实例相关联的主用户账户和密码。创建数据库实例后,您可以使用主用户凭证连接到数据库。之后,您还可以创建其他用户账户,以便限制谁能访问您的数据库实例。

RDS_Identity_Access_Management

网络隔离和数据库防火墙

使用 Amazon Virtual Private Cloud (VPC),您可以在自己的虚拟网络中隔离数据库实例,然后使用 Direct Connect 连接到现有的 IT 基础设施。

借助 Amazon VPC,您可以通过指定要使用的 IP 范围来隔离数据库实例。在 VPC 中运行 Amazon RDS 可让您在私有子网中获得数据库实例。您也可以设置一个虚拟私有网关,将公司网络扩展到 VPC,然后允许访问该 VPC 中的 RDS 数据库实例。有关更多详细信息,请参阅 Amazon VPC 用户指南。对于 Amazon VPC 内部署的数据库实例,可通过 VPN 或您在公有子网中可以启动的堡垒主机,从 VPC 外部的 Amazon EC2 实例进行访问。要使用堡垒主机,您需要设置一个包含用作 SSH 堡垒的 EC2 实例的公有子网。该公有子网的互联网网关和路由规则必须允许通过 SSH 主机引导流量,然后必须将请求转发到 Amazon RDS 数据库实例的私有 IP 地址。数据库安全组可用于帮助保护 Amazon VPC 内的数据库实例。此外,可以通过网络 ACL 允许或拒绝进出每个子网的网络流量。

RDS_Security_Groups

数据库活动流

除了外部安全威胁之外,托管式数据库还需要提供保护,以避免数据库管理员 (DBA) 的内部风险。目前 Amazon Aurora 支持的数据库活动流能够提供关系数据库中数据库活动的实时数据流。与第三方数据库活动监控工具集成后,您可以监控和审核数据库活动,以便为数据库提供保护,并满足合规性和监管要求。

数据库活动流通过实施保护模型来控制数据管理员对数据库活动流的访问,从而保护数据库免受内部威胁。因此,数据库活动流的收集、传输、存储和后续处理超出了管理数据库的数据管理员的访问权限。

该流将被推送到代表您的数据库创建的 Amazon Kinesis 数据流。利用 Kinesis Data Firehose,Amazon CloudWatch 或合作伙伴应用程序便可以使用数据库活动流来进行合规性管理。这些合作伙伴应用程序可以使用数据库活动流信息生成警报,并对 Amazon Aurora 数据库上的所有活动进行审核。

您可以在文档页面中详细了解如何将数据库活动流用于兼容 PostgreSQL 和 MySQL 的 Aurora。

RDS_Database_Activity_Streams

合规性

Amazon RDS 致力于为客户提供强大的合规框架、高级工具以及安全措施,客户可以使用这些工具和安全措施来评估合规情况,并说明自身已遵循适用的法律和监管要求。

有关更多信息,请访问亚马逊云科技合规性页面

关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域