Sécurité dans Amazon RDS

Chez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des organisations les plus pointilleuses en termes de sécurité.

La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilité partagée décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :

• Sécurité du cloud – AWS est responsable de la protection de l'infrastructure qui exécute des services AWS dans le cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon RDS, consultez Services AWS concernés par le programme de conformité.

• Sécurité dans le cloud – Votre responsabilité est déterminée par le service AWS que vous utilisez. Vous êtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de Amazon RDS. Les rubriques suivantes vous montrent comment configurer Amazon RDS pour répondre à vos objectifs de sécurité et de conformité. Vous pouvez également apprendre à utiliser d'autres services AWS qui vous permettent de surveiller et de sécuriser vos ressources Amazon RDS.

Vous pouvez gérer l'accès à vos ressources Amazon RDS et à vos bases de données sur une instance de base de données. La méthode que vous utilisez pour gérer l'accès dépend du type de tâche que l'utilisateur doit effectuer avec Amazon RDS :

• Exécutez votre instance de base de données dans un VPC basé sur le service Amazon VPC pour disposer du meilleur contrôle d’accès réseau possible. Pour plus d’informations sur la création d’une instance de base de données dans un VPC, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

• Utilisez des stratégies AWS Identity and Access Management (IAM) pour attribuer des autorisations afin de déterminer qui peut gérer les ressources Amazon RDS. Par exemple, vous pouvez utiliser IAM pour déterminer qui est autorisé à créer, décrire, modifier et supprimer des instances de base de données, attribuer des balises à des ressources ou modifier des groupes de sécurité.

• Utilisez les groupes de sécurité pour contrôler quelles adresses IP ou instances Amazon EC2 peuvent se connecter à vos bases de données sur une instance de base de données. Quand vous créez une instance de base de données pour la première fois, son pare-feu empêche tout accès aux bases de données sauf via les règles spécifiées par un groupe de sécurité associé.

• Utilisez des connexions SSL (Secure Socket Layer) ou TLS (Transport Layer Security) avec les instances de base de données exécutant les moteurs de base de données MySQL, MariaDB, PostgreSQL, Oracle ou Microsoft SQL Server. Pour de plus amples informations sur l'utilisation de SSL avec une instance de base de données, veuillez consulter Utilisation de SSL/TLS pour chiffrer une connexion à une instance de base de données.

• Utilisez Amazon RDS pour sécuriser vos instances de base de données et les instantanés au repos. Le chiffrement Amazon RDS utilise l’algorithme standard de chiffrement AES-256 pour chiffrer vos données sur le serveur qui héberge votre instance de base de données. Pour plus d'informations, consultez Chiffrement des ressources Amazon RDS.

• Utilisez un chiffrement réseau et un chiffrement TDE (Transparent Data Encryption) avec les instances de base de données Oracle. Pour plus d'informations, consultez Oracle NNE (Native Network Encryption) et Oracle Transparent Data Encryption

• Utilisez les fonctions de sécurité de votre moteur de base de données pour contrôler qui peut se connecter aux bases de données sur une instance de base de données. Ces fonctions agissent comme si la base de données se trouvait sur votre réseau local.

Note

Vous devez uniquement configurer la sécurité de vos cas d'utilisation. Vous n’avez pas à configurer l’accès de sécurité pour les processus gérés par Amazon RDS. Cela inclut, par exemple, la création de sauvegardes et la réplication de données entre une instance de base de données principale et un réplica en lecture, et d'autres processus.

Pour plus d'informations sur la gestion de l'accès aux ressources Amazon RDS et à vos bases de données sur une instance de base de données, consultez les rubriques suivantes.

Rubriques

• Protection des données dans Amazon RDS
• Gestion des identités et des accès dans Amazon RDS
• Authentification Kerberos
• Journalisation et surveillance dans Amazon RDS
• Validation de la conformité pour Amazon RDS
• Résilience dans Amazon RDS
• Sécurité de l'infrastructure dans Amazon RDS
• Amazon RDS et points de terminaison de VPC d'interface (AWS PrivateLink)
• Bonnes pratiques de sécurité pour Amazon RDS
• Contrôle d'accès par groupe de sécurité
• Privilèges du compte utilisateur principal
• Utilisation des rôles liés à un service pour Amazon RDS
• VPC Amazon Virtual Private Cloud et Amazon RDS