Amazon RDS 中的安全

雲端安全是 AWS 最重視的一環。身為 AWS 的客戶，您將能從資料中心和網路架構中獲益，這些都是專為最重視安全的組織而設計的。

安全是 AWS 與您共同的責任。‬共同的責任模型‭‬ 將此描述為雲端 ‭‬本身‭‬ 的安全和雲端‬內部‬的安全：

• 雲端本身的安全 – AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。AWS 也提供您可安全使用的服務。在 AWS 合規計劃中，第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 Amazon RDS 的合規計劃，請參閱AWS 合規計劃的服務範圍。

• 雲端內部的安全 – 您的責任取決於所使用的 AWS 服務。您也必須對其他因素負責，包括資料的敏感度、您組織的需求和適用的法律及法規。

本文件有助於您了解如何在使用 Amazon RDS 時套用共同責任模型。下列主題將示範如何設定 Amazon RDS 以達到您的安全和合規目標。您也會了解如何使用其他 AWS 服務來協助您監控並保護 Amazon RDS 資源。

您可以管理對 Amazon RDS 資源以及資料庫執行個體上資料庫的存取權限。您用來管理存取權限的方法取決於使用者需要利用 Amazon RDS 執行何種類型的任務：

• 在以 Amazon VPC 服務為基礎的 virtual private cloud (VPC) 中執行您的資料庫執行個體，以盡可能地取得最大的網路存取控制能力。如需在 VPC 中建立資料庫執行個體的詳細資訊，請參閱Amazon VPC 和 Amazon RDS。

• 使用 AWS Identity and Access Management (IAM) 政策來指派許可，決定可以管理 Amazon RDS 資源的人員。例如，您可以使用 IAM 來決定誰可以建立、描述、修改和刪除資料庫執行個體、標記資源，或修改安全群組。

• 使用安全群組來控制哪些 IP 地址或 Amazon EC2 執行個體可以連線至資料庫執行個體上的資料庫。當您第一次建立資料庫執行個體時，其防火牆會防止任何資料庫存取，但透過相關聯的安全群組所指定規則進行的資料庫存取除外。

• 對執行 Db2、MySQL、MariaDB、PostgreSQL、甲骨文或 Microsoft SQL 伺服器資料庫引擎的資料庫執行個體使用安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 連線。如需搭配資料庫執行個體使用 SSL/TLS 的詳細資訊，請參閱。

• 使用 Amazon RDS 加密來保護資料庫執行個體、和靜態快照。Amazon RDS 加密資料庫執行個體叢集會使用業界標準 AES-256 加密演算法，來加密託管資料庫執行個體伺服器上的資料。如需更多詳細資訊，請參閱 加密 Amazon RDS 資源。

• 使用網路加密和透明資料加密與 Oracle 資料庫執行個體搭配；如需詳細資訊，請參閱 Oracle 原生網路加密 和 Oracle 透明資料加密

• 使用資料庫引擎的安全功能，來控制誰可以登入資料庫執行個體上的資料庫。這項功能的運作方式就好像資料庫位在您的本機網路上。

注意

您只須針對您的使用案例設定安全。您不需要為 Amazon RDS 管理的程序設定安全存取。這些包括建立備份、在主要資料庫執行個體和僅供讀取複本間複寫資料，以及其他程序。

如需管理對 Amazon RDS 資源及在您資料庫執行個體上資料庫存取權限的詳細資訊，請參閱下列主題。

主題

• 使用 Amazon RDS 進行資料庫身分驗證
• 使用 Amazon RDS Amazon 和密碼管理 AWS Secrets Manager
• Amazon RDS 中的資料保護
• Amazon RDS 的 Identity and access management
• Amazon RDS 中的記錄和監控
• Amazon RDS 的合規驗證
• Amazon RDS 的復原功能
• Amazon RDS 中的基礎設施安全
• Amazon RDS API 和界面 VPC 端點 (AWS PrivateLink)
• Amazon RDS 的安全最佳實務
• 使用安全群組控制存取
• 主要使用者帳戶權限
• 使用 Amazon RDS 的服務連結角色
• Amazon VPC 和 Amazon RDS