Amazon Aurora-Sicherheit - Amazon Aurora
Verwenden von SSL mit Aurora-DB-Clustern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Aurora-Sicherheit

Die Sicherheit für Amazon Aurora wird auf drei Ebenen verwaltet:

  • Mit AWS Identity and Access Management (IAM) können Sie steuern, wer Verwaltungsaktionen in Amazon RDS für Aurora-DB-Cluster und DB-Instances ausführen darf. Wenn Sie eine Verbindung zu AWS mithilfe von IAM-Anmeldeinformationen herstellen, muss Ihr AWS-Konto über IAM-Richtlinien verfügen, die die erforderlichen Berechtigungen zum Ausführen von Amazon-RDS-Verwaltungsvorgängen gewähren. Weitere Informationen finden Sie unter Identity and Access Management für Amazon Aurora.

    Wenn Sie IAM verwenden, um auf die Amazon-RDS-Konsole zuzugreifen, müssen Sie sich zuerst mit Ihren Anmeldeinformationen bei der AWS Management Console anmelden und anschließend die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds öffnen.

  • Aurora-DB-Cluster müssen in einer Virtual Private Cloud (VPC) basierend auf dem Amazon VPC-Service erstellt werden. Mithilfe einer VPC-Sicherheitsgruppe können Sie steuern, welche Geräte und Amazon EC2-Instances Verbindungen zum Endpunkt und Port der DB-Instance für Aurora-DB-Cluster in einer VPC herstellen können. Diese Endpunkt- und Portverbindungen können mithilfe von Transport Layer Security (TLS)/Secure Sockets Layer (SSL) erstellt werden. Zusätzlich können Firewall-Regeln in Ihrem Unternehmen steuern, ob in Ihrem Unternehmen verwendete Geräte Verbindungen mit einer DB-Instance herstellen dürfen. Weitere Informationen zu VPCs finden Sie unter Amazon VPCs und Amazon Aurora.

  • Um Anmeldungen und Berechtigungen für einen Amazon Aurora-DB-Cluster zu authentifizieren, können Sie einen der folgenden Ansätze oder eine Kombination aus diesen wählen.

    • Sie können denselben Ansatz wie bei einer eigenständigen DB-Instance in MySQL oder PostgreSQL wählen.

      Techniken zur Authentifizierung von Anmeldungen und Berechtigungen für eigenständige MySQL- oder PostgreSQL-DB-Instances, wie z. B. die Verwendung von SQL-Befehlen oder die Änderung von Datenbankschematabellen, funktionieren auch mit Aurora. Weitere Informationen finden Sie unter Sicherheit in Amazon Aurora MySQL oder Sicherheit in Amazon Aurora PostgreSQL.

    • Sie können die IAM-Datenbank-Authentifizierung verwenden.

      Mit der IAM-Datenbank-Authentifizierung authentifizieren Sie sich bei Ihrem Aurora-DB-Cluster, indem Sie einen Benutzer oder eine IAM-Rolle und ein Authentifizierungstoken verwenden. Ein Authentifizierungstoken ist ein eindeutiger Wert, der mithilfe des Signatur-Version 4-Signiervorgangs erstellt wird. Durch das Verwenden der IAM-Datenbank-Authentifizierung können Sie dieselben Anmeldeinformationen verwenden, um den Zugang zu Ihren AWS-Ressourcen und Ihrer Datenbank zu steuern. Weitere Informationen finden Sie unter IAM-Datenbankauthentifizierung.

    • Sie können die Kerberos-Authentifizierung für Aurora PostgreSQL und Aurora MySQL verwenden.

      Sie können Kerberos verwenden, um Benutzer zu authentifizieren, wenn diese sich mit Ihrem DB-Cluster von Aurora PostgreSQL und Aurora MySQL verbinden. In diesem Fall arbeitet der DB-Cluster mit AWS Directory Service for Microsoft Active Directory, um die Kerberos-Authentifizierung zu aktivieren. AWS Directory Service for Microsoft Active Directory wird auch AWS Managed Microsoft AD genannt. Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Sie haben einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern. Weitere Informationen finden Sie unter Verwenden der Kerberos-Authentifizierung mit Aurora PostgreSQL und Verwenden der Kerberos-Authentifizierung für Aurora MySQL.

Weitere Informationen zur Sicherheitskonfiguration finden Sie unter Sicherheit in Amazon Aurora.

Verwenden von SSL mit Aurora-DB-Clustern

Amazon Aurora-DB-Cluster unterstützten Secure Sockets Layer (SSL)-Verbindungen von Anwendungen mithilfe desselben Prozesses und desselben öffentlichen Schlüssels wie Amazon RDS-DB-Instances. Weitere Informationen finden Sie unter Sicherheit in Amazon Aurora MySQL, Sicherheit in Amazon Aurora PostgreSQL oder Verwenden von TLS/SSL mit Aurora Serverless v1.