Amazon Relational Database Service
Guía del usuario

Seguridad en Amazon RDS

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y un centro de datos que están diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

  • Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta servicios de AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información acerca de los programas de conformidad que se aplican a Amazon RDS, consulte Servicios de AWS en el ámbito del programa de conformidad.

  • Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Amazon RDS. En los siguientes temas, se le mostrará cómo configurar Amazon RDS para satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que le ayudan a supervisar y proteger sus recursos de Amazon RDS.

Es posible controlar el acceso a los recursos de Amazon RDS y sus bases de datos en una instancia de base de datos. El método que se utiliza para controlar el acceso depende del tipo de tarea que el usuario necesite realizar con Amazon RDS:

  • Ejecute su instancia de base de datos en una nube privada virtual (VPC) basándose en el servicio de Amazon VPC para el posible control de acceso de red más grande. Para obtener más información acerca de la creación de una instancia de base de datos en una VPC, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

  • Utilice políticas de AWS Identity and Access Management (IAM) para asignar permisos que determinen quién puede administrar los recursos de Amazon RDS. Por ejemplo, puede utilizar IAM para determinar quién tiene permiso para crear, describir, modificar y eliminar instancias de bases de datos, etiquetar recursos o modificar grupos de seguridad.

  • Utilice grupos de seguridad para controlar las direcciones IP o instancias Amazon EC2 que pueden conectarse a las bases de datos de una instancia de base de datos. Cuando se crea una instancia de base de datos por primera vez, su firewall impide cualquier acceso a las bases de datos, salvo si se cumplen las reglas especificadas por un grupo de seguridad asociado.

  • Utilice conexiones SSL (Capa de conexión segura) o TLS (Transport Layer Security) con las instancias de base de datos que ejecuten los motores de base de datos MySQL, &MariaDB, PostgreSQL, Oracle o Microsoft SQL Server. Para obtener más información sobre el uso de SSL/TLS con una instancia de base de datos, consulte Uso de SSL/TLS para cifrar una conexión a una instancia de base de datos.

  • Use cifrado Amazon RDS para proteger sus instancias de base de datos e instantáneas en reposo. El cifrado de Amazon RDS utiliza el algoritmo de cifrado AES-256 para cifrar sus datos en el servidor que aloja su instancia de base de datos. Para obtener más información, consulte Cifrado de recursos de Amazon RDS.

  • Utilice el cifrado de red y el cifrado de datos transparente con las instancias de bases de datos de Oracle; para obtener más información, consulte Oracle Native Network Encryption y Cifrado de datos transparente de Oracle

  • Utilice las características de seguridad del motor de base de datos para controlar quién puede iniciar sesión en las bases de datos de una instancia de base de datos. Estas características funcionas de igual forma que si la base de datos estuviera en su red local.

nota

Solo tiene que configurar la seguridad para sus casos de uso. No tiene que configurar el acceso de seguridad para procesos que Amazon RDS administra. Estos incluyen la creación de copias de seguridad, la replicación de datos entre un maestro y una réplica de lectura, y otros procesos.

Para obtener más información acerca de la administración del acceso a los recursos de Amazon RDS y las bases de datos de una instancia de base de datos, consulte los siguientes temas.