Segurança da infraestrutura no Amazon Aurora - Amazon Aurora
Grupos de segurançaPublic accessibility

Segurança da infraestrutura no Amazon Aurora

Como serviço gerenciado, o Amazon RDS é protegido pelos procedimentos de segurança de rede global da AWS descritos nas Práticas recomendadas de segurança, identidade e conformidade.

Você usa chamadas de API publicadas pela AWS para acessar o Amazon Aurora por meio da rede. Os clientes devem ter suporte ao Transport Layer Security (TLS) 1.0. Recomendamos TLS 1.2 ou posterior. Os clientes também devem ter suporte a conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Além disso, o Aurora oferece recursos para ajudar a oferecer suporte à segurança da infraestrutura.

Grupos de segurança

Os grupos de segurança controlam o acesso que o tráfego tem dentro e fora de um cluster de banco de dados. Por padrão, o acesso à rede é desativado para um cluster de banco de dados. É possível especificar regras em um grupo de segurança que permitem o acesso de um intervalo de endereço IP, de uma porta ou de grupo de segurança. Depois que as regras de entrada são configuradas, as mesmas regras se aplicam a todos os clusters de banco de dados associados a esse grupo de segurança.

Para obter mais informações, consulte Controlar acesso com grupos de segurança.

Public accessibility

Quando você inicia uma instância de banco de dados dentro de uma nuvem privada virtual (VPC) com base no serviço da Amazon VPC, pode ativar ou desativar a acessibilidade pública para essa instância de banco de dados. Para designar se a instância de banco de dados que você cria tem um nome DNS que é determinado como um endereço IP público, use o parâmetro Public accessibility. Usando esse parâmetro, você pode designar se há acesso público à instância do banco de dados. Você pode modificar uma instância de banco de dados para ativar ou desativar a acessibilidade pública modificando o parâmetro Public accessibility (Acessibilidade pública).

Para obter mais informações, consulte Ocultar um cluster de banco de dados em uma VPC da Internet.

nota

Se sua instância de banco de dados estiver em uma VPC, mas não estiver acessível publicamente, também será possível usar uma conexão AWS Site-to-Site VPN ou uma conexão do AWS Direct Connect para acessá-la de uma rede privada. Para obter mais informações, consulte Privacidade do tráfego entre redes.