Seguridad de Amazon Aurora

La seguridad de Amazon Aurora se administra en tres niveles:

• Para controlar quién puede realizar acciones de administración de Amazon RDS en clústeres e instancias de base de datos de Aurora, se usa AWS Identity and Access Management (IAM). Cuando se conecta a AWS con credenciales de IAM, la cuenta de AWS debe tener políticas de IAM que concedan los permisos necesarios para realizar operaciones de administración de Amazon RDS. Para obtener más información, consulte Administración de la identidad y el acceso en Amazon Aurora.

  Si usa IAM para acceder a la consola de Amazon RDS, debe iniciar sesión primero en la AWS Management Console con sus credenciales de usuario y luego ir a la consola de Amazon RDS en https://console.aws.amazon.com/rds.

• Los clústeres de base de datos de Aurora deben crearse en una nube virtual privada (VPC) basada en el servicio de Amazon VPC. Para controlar qué dispositivos e instancias Amazon EC2 pueden abrir conexiones al punto de enlace y al puerto de la instancia de base de datos los clústeres de base de datos Aurora en una VPC, debe usar un grupo de seguridad de VPC. Puede establecer estas conexiones de puerto y punto de enlace mediante Transport Layer Security (TLS)/Capa de conexión segura (SSL). Además, las reglas del firewall de su compañía pueden controlar si los dispositivos que se ejecutan en ella pueden abrir conexiones a una instancia de base de datos. Para obtener más información acerca de las VPC, consulte VPC de Amazon y Amazon Aurora.

• Para autenticar los inicios de sesión y los permisos de un clúster de bases de datos Amazon Aurora, puede usar cualquiera de los siguientes procedimientos o una combinación de ellos.

  • Puede seguir el mismo procedimiento que con una instancia de base de datos independiente de MySQL o PostgreSQL.

    Las técnicas de autenticación de inicios de sesión y permisos para instancias de base de datos independientes de MySQL o PostgreSQL como, por ejemplo, el uso de los comandos SQL o la modificación de las tablas de los esquemas de las bases de datos, también funcionan con Aurora. Para obtener más información, consulte Seguridad con Amazon Aurora MySQL o Seguridad con Amazon Aurora PostgreSQL.

  • Puede utilizar la autenticación de base de datos de IAM.

    Con la autenticación de bases de datos de IAM, debe autenticarse en el clúster de bases de datos de Aurora con un usuario o con un rol de IAM y un token de autenticación. Un token de autenticación es un valor único que se genera utilizando el proceso de firma Signature Version 4. Mediante la autenticación de base de datos de IAM, puede utilizar las mismas credenciales para controlar el acceso a AWS los recursos y a las bases de datos. Para obtener más información, consulte Autenticación de bases de datos de IAM .

  • Puede usar la autenticación Kerberos para Aurora PostgreSQL y Aurora MySQL.

    Puede usar Kerberos para autenticar a los usuarios cuando se conecten al clúster de bases de datos de Aurora PostgreSQL y Aurora MySQLDB. En este caso, el clúster de bases de datos funciona con AWS Directory Service for Microsoft Active Directory para habilitar la autenticación Kerberos. AWS Directory Service for Microsoft Active Directory también se llama AWS Managed Microsoft AD. Mantener todas las credenciales en el mismo directorio puede ahorrarle tiempo y esfuerzo. Dispone de un lugar centralizado para almacenar y administrar credenciales para varios clústeres de bases de datos. El uso de un directorio también puede mejorar su perfil de seguridad general. Para obtener más información, consulte Uso de la autenticación Kerberos con Aurora PostgreSQL y Uso de la autenticación Kerberos para Aurora MySQL.

Para obtener información acerca de la configuración de seguridad, consulte Seguridad en Amazon Aurora.

Uso de SSL con clústeres de base de datos de Aurora

Los clústeres de base de datos Amazon Aurora admiten conexiones de Capa de conexión segura (SSL) desde aplicaciones con el mismo proceso y la misma clave pública que las instancias de base de datos de Amazon RDS. Para obtener más información, consulte Seguridad con Amazon Aurora MySQL, Seguridad con Amazon Aurora PostgreSQL o Uso de TLS/SSL con Aurora Serverless v1.