Segurança do Amazon Aurora
A segurança do Amazon Aurora é gerenciada em três níveis:
-
Para controlar quem pode realizar ações de gerenciamento do Amazon RDS em clusters de banco de dados e instâncias de banco de dados do Aurora, você usa o AWS Identity and Access Management (IAM). Ao se conectar à AWS usando credenciais do IAM, sua conta da AWSdeve ter políticas do IAM que concedam as permissões necessárias para executar operações de gerenciamento do Amazon RDS. Para obter mais informações, consulte Gerenciamento de identidade e acesso no Amazon Aurora.
Se estiver usando o IAM para acessar o console do Amazon RDS, será necessário primeiramente fazer login no AWS Management Console com as credenciais de usuário, depois acessar o console do Amazon RDS em https://console.aws.amazon.com/rds
. -
Os clusters de banco de dados do Aurora devem ser criados em uma nuvem privada virtual (VPC) com base no serviço da Amazon VPC. Para controlar quais dispositivos e instâncias do Amazon EC2 podem abrir conexões para o endpoint e a porta da instância de banco de dados dos clusters de banco de dados do Aurora em uma VPC, use um grupo de segurança da VPC. É possível estabelecer essas conexões de endpoint e porta usando Transport Layer Security (TLS)/Secure Sockets Layer (SSL). Além disso, as regras de firewall em sua empresa podem controlar se dispositivos sendo executados nela podem abrir conexões em uma instância de banco de dados. Para obter mais informações sobre VPCs, consulte Amazon VPC e Amazon Aurora.
-
Para autenticar os logins e as permissões de um cluster de banco de dados do Amazon Aurora, siga uma das seguintes abordagens ou uma combinação delas.
-
Você pode adotar a mesma abordagem de uma instância de banco de dados autônoma do MySQL ou do PostgreSQL.
As técnicas de autenticação de logins e permissões para instâncias de bancos de dados autônomas do MySQL ou do PostgreSQL, como usar comandos SQL ou modificar tabelas do esquema de banco de dados, também funcionam com o Aurora. Para obter mais informações, consulte Segurança com o Amazon Aurora MySQL ou Segurança com o Amazon Aurora PostgreSQL.
-
Você pode usar a autenticação de banco de dados do IAM.
Com a autenticação de banco de dados do IAM, é possível autenticar o cluster de banco de dados do Aurora utilizando um usuário ou um perfil do IAM e um token de autenticação. Um token de autenticação é um valor exclusivo, gerado usando o processo de assinatura Signature Version 4. Ao usar a autenticação de banco de dados do IAM, você pode usar as mesmas credenciais para controlar o acesso aos seus recursos e bancos de dados da AWS. Para obter mais informações, consulte Autenticação do banco de dados do IAM.
-
É possível utilizar a autenticação Kerberos para o Aurora PostgreSQL e o Aurora MySQL.
É possível usar o Kerberos para autenticar usuários quando eles se conectam ao seu cluster de banco de dados do Aurora PostgreSQL e Aurora MySQL. Nesse caso, o cluster de banco de dados funciona com o AWS Directory Service for Microsoft Active Directory para habilitar a autenticação Kerberos. O AWS Directory Service for Microsoft Active Directory também é chamado de AWS Managed Microsoft AD. Manter todas as suas credenciais no mesmo diretório pode economizar tempo e esforço. Há um lugar centralizado para armazenar e gerenciar credenciais para vários clusters de banco de dados. O uso de um diretório também pode melhorar o perfil de segurança geral. Para obter mais informações, consulte Usar a autenticação Kerberos com o Aurora PostgreSQL e Usar a autenticação Kerberos para Aurora MySQL.
-
Para obter informações sobre a configuração de segurança, consulte Segurança no Amazon Aurora.
Uso do SSL com clusters de banco de dados Aurora
Os clusters de banco de dados do Amazon Aurora oferecem suporte a conexões Secure Sockets Layer (SSL) de aplicações que usam o mesmo processo e a mesma chave pública que as instâncias de banco de dados do Amazon RDS. Para obter mais informações, consulte Segurança com o Amazon Aurora MySQL, Segurança com o Amazon Aurora PostgreSQL ou Usar TLS/SSL com o Aurora Serverless v1.
