Amazon Aurora 中的安全

雲端安全是 AWS 最重視的一環。身為 AWS 的客戶，您將能從資料中心和網路架構中獲益，這些都是專為最重視安全的組織而設計的。

安全是 AWS 與您共同的責任。‬共同的責任模型‭‬ 將此描述為雲端 ‭‬本身‭‬ 的安全和雲端‬內部‬的安全：

• 雲端本身的安全 – AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。AWS 也提供您可安全使用的服務。在 AWS 合規計劃中，第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 Amazon Aurora (Aurora) 的合規計劃，請參閱AWS 合規計劃的服務範圍。

• 雲端內部的安全 – 您的責任取決於所使用的 AWS 服務。您也必須對其他因素負責，包括資料的敏感度、您組織的需求和適用的法律及法規。

本文件有助於您了解如何在使用 Amazon Aurora 時套用共同責任模型。下列主題將示範如何設定 Amazon Aurora 以達到您的安全和合規目標。您也會了解如何使用其他 AWS 服務來協助您監控並保護 Amazon Aurora 資源。

您可以管理對 Amazon Aurora 資源以及資料庫叢集上資料庫的存取權限。您用來管理存取權限的方法取決於使用者需要利用 Amazon Aurora 執行何種類型的任務：

• 在以 Amazon VPC 服務為基礎的 virtual private cloud (VPC) 中執行您的資料庫叢集，以盡可能地取得最大的網路存取控制能力。如需在 VPC 中建立資料庫叢集的詳細資訊，請參閱Amazon VPC 和Amazon Aurora。

• 使用 AWS Identity and Access Management (IAM) 政策來指派許可，決定可以管理 Amazon Aurora 資源的人員。例如，您可以使用 IAM 來決定誰可以建立、描述、修改和刪除資料庫叢集、標記資源，或修改安全群組。

  若要檢閱 IAM 政策範例，請參閱 Amazon Aurora 以身分為基礎的政策範例。

• 使用安全群組來控制哪些 IP 地址或 Amazon EC2 執行個體可以連線至資料庫叢集上的資料庫。當您第一次建立資料庫叢集時，其防火牆會防止任何資料庫存取，但透過相關聯的安全群組所指定規則進行的資料庫存取除外。

• 搭配執行 Aurora MySQL 或 Aurora PostgreSQL 的資料庫叢集使用 Secure Socket Layer (SSL) 連線或 Transport Layer Security (TLS)。如需搭配資料庫叢集使用 SSL/TLS 的詳細資訊，請參閱使用 SSL/TLS 加密資料庫叢集叢集的連線。

• 使用 Amazon Aurora 加密來保護、資料庫叢集和靜態快照。Amazon Aurora 加密資料庫執行個體叢集會使用業界標準 AES-256 加密演算法，來加密託管資料庫叢集伺服器上的資料。如需更多詳細資訊，請參閱 加密 Amazon Aurora 資源。

• 使用資料庫引擎的安全功能，來控制誰可以登入資料庫叢集上的資料庫。這項功能的運作方式就好像資料庫位在您的本機網路上。

  如需 Aurora MySQL 安全的詳細資訊，請參閱 Amazon Aurora MySQL 的安全性。如需 Aurora PostgreSQL 安全的詳細資訊，請參閱 Amazon Aurora PostgreSQL 的安全性。

Aurora 是受管資料庫服務 Amazon Relational Database Service (Amazon RDS) 的一部分。Amazon RDS 是一項 Web 服務，可以讓雲端中關聯式資料庫的設定、操作和擴展更加簡單。如果您尚未熟悉 Amazon RDS，請參閱《Amazon RDS 使用者指南》。

Aurora 包括高效能的儲存子系統。其 MySQL 和 PostgreSQL 相容的資料庫引擎會自訂為善用該快速分散式儲存。Aurora 也會自動化並標準化資料庫叢集和複寫，這通常是資料庫設定和管理中最具挑戰性的層面。

針對 Amazon RDS 和 Aurora，您可以透過編寫程式的方式存取 RDS API，並且您也可以使用 AWS CLI 來以互動方式存取 RDS API。有些 RDS API 操作和 AWS CLI 命令同時適用於 Amazon RDS 和 Aurora，其他的則僅適用於 Amazon RDS 或 Aurora。如需 RDS API 操作的資訊，請參閱 Amazon RDS API 參考。如需 AWS CLI 的詳細資訊，請參閱 Amazon RDS 的 AWS Command Line Interface 參考。

注意

您只須針對您的使用案例設定安全。您不需要為 Amazon Aurora 管理的程序設定安全存取。這些包括建立備份、自動容錯移轉以及其他程序。

如需管理對 Amazon Aurora 資源及在您資料庫叢集上資料庫存取權限的詳細資訊，請參閱下列主題。

主題

• 使用 Amazon Aurora 進行資料庫身分驗證
• 使用 Aurora 和密碼管理 AWS Secrets Manager
• Amazon RDS 中的資料保護
• Amazon Aurora 的 Identity and access management
• Amazon Aurora 中的記錄和監控
• Amazon Aurora 的合規驗證
• Amazon Aurora 的復原功能
• Amazon Aurora 中的基礎設施安全
• Amazon RDS API 和界面 VPC 端點 (AWS PrivateLink)
• Amazon Aurora 的安全最佳實務
• 使用安全群組控制存取
• 主要使用者帳戶權限
• 使用 Amazon Aurora 的服務連結角色
• Amazon VPC 和Amazon Aurora