Segurança no Amazon RDS

A segurança para com a nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiará de um datacenter e de uma arquitetura de rede criados para atender aos requisitos das empresas com as maiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidade compartilhada descreve isto como segurança da nuvem e segurança na nuvem:

• Segurança da nuvem: a AWS é responsável pela proteção da infraestrutura que executa produtos da AWS na Nuvem AWS. A AWS também fornece serviços que podem ser usados com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos programas de conformidade da AWS. Para saber mais sobre os programas de compatibilidade que se aplicam ao Amazon RDS, consulte Serviços da AWS no escopo por programa de conformidade.

• Segurança na nuvem: sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, inclusive a confidencialidade dos dados, os requisitos da organização, as leis e as regulamentações vigentes.

Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon RDS. Os tópicos a seguir mostram como configurar o Amazon RDS para atender aos seus objetivos de segurança e conformidade. Saiba também como usar outros serviços da AWS que ajudam a monitorar e proteger os recursos do Amazon RDS.

Você pode gerenciar o acesso a seus recursos do Amazon RDS e a seus bancos de dados em um cluster de de banco de dados. O método usado para gerenciar o acesso depende do tipo de tarefa que o usuário precisa realizar com o Amazon RDS:

• Execute seu cluster de instância de em uma nuvem privada virtual (VPC) baseada no serviço da Amazon VPC para obter o maior controle possível de acesso à rede. Para obter mais informações sobre como criar um cluster de de banco de dados em uma VPC, consulte VPCs da Amazon VPC e Amazon RDS.

• Use políticas do AWS Identity and Access Management (IAM) para atribuir permissões que determinam quem tem permissão para gerenciar os recursos do Amazon RDS. Por exemplo, você pode usar o IAM para determinar quem tem permissão para criar, descrever, modificar e excluir clusters de de banco de dados, marcar recursos ou modificar grupos de segurança.

• Use grupos de segurança para controlar quais endereços IP ou instâncias do Amazon EC2 podem se conectar aos seus bancos de dados em um cluster de de banco de dados. Quando você cria um cluster de de banco de dados, seu firewall impede qualquer acesso ao banco de dados, exceto por meio de regras especificadas por um grupo de segurança associado.

• Use conexões Secure Socket Layer (SSL) ou Transport Layer Security (TLS) com instâncias de banco de dados que executam os seguintes mecanismos de banco de dados: Db2, MySQL, MariaDB, PostgreSQL, Oracle ou Microsoft SQL Server. Para obter mais informações sobre como usar o SSL/TLS com uma instância de banco de dados, consulte Usar SSL/TLS para criptografar uma conexão com uma instância ou um cluster de banco de dados.

• Use a criptografia do Amazon RDS para proteger suas instâncias de banco de dados e snapshots em repouso. A cripstografia do Amazon RDS usa o algoritmo de criptografia AES-256 padrão do setor para criptografar seus dados no servidor que hospeda a instância do banco de dados. Para obter mais informações, consulte Criptografar recursos do Amazon RDS.

• Use a criptografia de rede e a criptografia de dados transparente com instâncias de bancos de dados Oracle. Para obter mais informações, consulte Oracle Native Network Encryption e Oracle Transparent Data Encryption

• Use os recursos de segurança do seu mecanismo de banco de dados para controlar quem pode fazer login nos bancos de dados em um cluster de de banco de dados. Esses recursos funcionam como se o banco de dados estivesse em sua rede local.

nota

Basta configurar a segurança para os casos de uso. Não é necessário configurar o acesso de segurança para os processos que o Amazon RDS gerencia. Isso inclui a criação de backups, a replicação de dados entre uma instância do banco de dados primário e uma réplica de leitura e outros processos.

Para obter mais informações sobre como gerenciar o acesso a recursos do Amazon RDS e os bancos de dados de uma instância de banco de dados, consulte os tópicos a seguir.

Tópicos

• Autenticação do banco de dados com Amazon RDS
• Gerenciamento de senhas com Amazon RDS e AWS Secrets Manager
• Proteção de dados no Amazon RDS
• Gerenciamento de identidade e acesso no Amazon RDS
• Registrar em log e monitorar no Amazon RDS
• Validação de conformidade do Amazon RDS
• Resiliência no Amazon RDS
• Segurança da infraestrutura no Amazon RDS
• API do Amazon RDS e endpoints da VPC de interface (AWS PrivateLink)
• Práticas recomendadas de segurança do Amazon RDS
• Controlar acesso com grupos de segurança
• Privilégios da conta de usuário mestre
• Usar funções vinculadas ao serviço do Amazon RDS
• VPCs da Amazon VPC e Amazon RDS