本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon RDS 中的安全
雲端安全是 AWS 最重視的一環。身為 AWS 的客戶,您將能從資料中心和網路架構中獲益,這些都是專為最重視安全的組織而設計的。
安全是 AWS 與您共同的責任。共同的責任模型
-
雲端本身的安全 – AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。AWS 也提供您可安全使用的服務。在 AWS 合規計劃
中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 Amazon RDS 的合規計劃,請參閱AWS 合規計劃的服務範圍 。 -
雲端內部的安全 – 您的責任取決於所使用的 AWS 服務。您也必須對其他因素負責,包括資料的敏感度、您組織的需求和適用的法律及法規。
本文件有助於您了解如何在使用 Amazon RDS 時套用共同責任模型。下列主題將示範如何設定 Amazon RDS 以達到您的安全和合規目標。您也會了解如何使用其他 AWS 服務來協助您監控並保護 Amazon RDS 資源。
您可以管理對 Amazon RDS 資源以及資料庫執行個體上資料庫的存取權限。您用來管理存取權限的方法取決於使用者需要利用 Amazon RDS 執行何種類型的任務:
在以 Amazon VPC 服務為基礎的 virtual private cloud (VPC) 中執行您的資料庫執行個體,以盡可能地取得最大的網路存取控制能力。如需在 VPC 中建立資料庫執行個體的詳細資訊,請參閱Amazon VPC 和 Amazon RDS。
使用 AWS Identity and Access Management (IAM) 政策來指派許可,決定可以管理 Amazon RDS 資源的人員。例如,您可以使用 IAM 來決定誰可以建立、描述、修改和刪除資料庫執行個體、標記資源,或修改安全群組。
使用安全群組來控制哪些 IP 地址或 Amazon EC2 執行個體可以連線至資料庫執行個體上的資料庫。當您第一次建立資料庫執行個體時,其防火牆會防止任何資料庫存取,但透過相關聯的安全群組所指定規則進行的資料庫存取除外。
對執行 Db2、MySQL、MariaDB、PostgreSQL、甲骨文或 Microsoft SQL 伺服器資料庫引擎的資料庫執行個體使用安全通訊端層 (SSL) 或傳輸層安全性 (TLS) 連線。如需搭配資料庫執行個體使用 SSL/TLS 的詳細資訊,請參閱。
-
使用 Amazon RDS 加密來保護資料庫執行個體、和靜態快照。Amazon RDS 加密資料庫執行個體叢集會使用業界標準 AES-256 加密演算法,來加密託管資料庫執行個體伺服器上的資料。如需更多詳細資訊,請參閱 加密 Amazon RDS 資源。
使用網路加密和透明資料加密與 Oracle 資料庫執行個體搭配;如需詳細資訊,請參閱 Oracle 原生網路加密 和 Oracle 透明資料加密
使用資料庫引擎的安全功能,來控制誰可以登入資料庫執行個體上的資料庫。這項功能的運作方式就好像資料庫位在您的本機網路上。
注意
您只須針對您的使用案例設定安全。您不需要為 Amazon RDS 管理的程序設定安全存取。這些包括建立備份、在主要資料庫執行個體和僅供讀取複本間複寫資料,以及其他程序。
如需管理對 Amazon RDS 資源及在您資料庫執行個體上資料庫存取權限的詳細資訊,請參閱下列主題。
主題
- 使用 Amazon RDS 進行資料庫身分驗證
- 使用 Amazon RDS Amazon 和密碼管理 AWS Secrets Manager
- Amazon RDS 中的資料保護
- Amazon RDS 的 Identity and access management
- Amazon RDS 中的記錄和監控
- Amazon RDS 的合規驗證
- Amazon RDS 的復原功能
- Amazon RDS 中的基礎設施安全
- Amazon RDS API 和界面 VPC 端點 (AWS PrivateLink)
- Amazon RDS 的安全最佳實務
- 使用安全群組控制存取
- 主要使用者帳戶權限
- 使用 Amazon RDS 的服務連結角色
- Amazon VPC 和 Amazon RDS