Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenschutz in Amazon Aurora DSQL
Das Modell der geteilten Verantwortung
Aus Datenschutzgründen empfehlen wir, dass Sie Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder einrichten AWS Identity and Access Management. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
-
Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
-
Wird verwendet SSL/TLS , um mit Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von Trails zur Erfassung von Aktivitäten finden Sie unter Arbeiten mit Trails im Benutzerhandbuch.
-
Verwenden Sie Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
-
Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
Wir empfehlen dringend, niemals vertrauliche oder sensible Informationen wie die E-Mail-Adressen Ihrer Kunden in Tags oder Freitextfeldern wie Name einzugeben. Dazu gehört auch, wenn Sie mit der Konsole, der API oder oder arbeiten oder AWS CLI anderweitig verwenden AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
Datenverschlüsselung
Amazon Aurora DSQL bietet eine sehr robuste Speicherinfrastruktur, die für geschäftskritische und primäre Datenspeicher entwickelt wurde. Daten werden redundant auf mehreren Geräten in verschiedenen Anlagen einer Aurora DSQL-Region gespeichert.
Verschlüsselung während der Übertragung
Die Verschlüsselung bei der Übertragung ist für Sie standardmäßig vorkonfiguriert. Aurora DSQL verwendet TLS zur Verschlüsselung des gesamten Datenverkehrs zwischen Ihrem SQL-Client und Aurora DSQL.
Verschlüsselung und Signierung von Daten bei der Übertragung zwischen SDK AWS CLI- oder API-Clients und Aurora DSQL-Endpunkten:
-
Aurora DSQL stellt HTTPS-Endpunkte zur Verschlüsselung von Daten während der Übertragung bereit.
-
Um die Integrität von API-Anforderungen an Aurora DSQL zu schützen, müssen API-Aufrufe vom Aufrufer signiert werden. Anrufe werden mit einem X.509-Zertifikat oder dem AWS geheimen Zugriffsschlüssel des Kunden gemäß dem Signature Version 4-Signaturprozess (Sigv4) signiert. Weitere Informationen finden Sie unter Signaturprozess mit Signaturversion 4 im Allgemeine AWS-Referenz.
-
Verwenden Sie die AWS CLI oder eine der Optionen, um Anfragen AWS SDKs an zu stellen. AWS Diese Tools signieren automatisch die Anforderungen für Sie mit dem Zugriffsschlüssel, den Sie bei der Konfiguration der Tools angegeben haben.
Compliance mit FIPS
Aurora DSQL-Datenebenen-Endpunkte (Cluster-Endpunkte, die für Datenbankverbindungen verwendet werden) verwenden standardmäßig FIPS 140-2-validierte kryptografische Module. Für Clusterverbindungen sind keine separaten FIPS-Endpunkte erforderlich.
Für den Betrieb auf der Kontrollebene bietet Aurora DSQL spezielle FIPS-Endpunkte in unterstützten Regionen. Weitere Informationen zu FIPS-Endpunkten auf Kontrollebene finden Sie unter Aurora DSQL-Endpunkte und Kontingente in der. Allgemeine AWS-Referenz
Siehe Verschlüsselung im Ruhezustand in Aurora DSQL zum Thema Verschlüsselung im Ruhezustand.
Datenschutz für den Datenverkehr zwischen Netzwerken
Verbindungen sind sowohl zwischen Aurora DSQL und lokalen Anwendungen als auch zwischen Aurora DSQL und anderen AWS Ressourcen innerhalb derselben geschützt. AWS-Region
Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und: AWS
-
Eine AWS Site-to-Site VPN-Verbindung. Weitere Informationen finden Sie unter Was ist AWS Site-to-Site VPN?
-
Eine Direct Connect Verbindung. Weitere Informationen finden Sie unter Was ist Direct Connect?
Sie erhalten Zugriff auf Aurora DSQL über das Netzwerk, indem Sie AWS-veröffentlichte API-Operationen verwenden. Kunden müssen Folgendes unterstützen:
-
Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
-
Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Datenschutz in Witness-Regionen
Wenn Sie einen Cluster mit mehreren Regionen erstellen, ermöglicht eine Witness-Region die automatische Wiederherstellung nach einem Ausfall, indem sie an der synchronen Replikation verschlüsselter Transaktionen teilnimmt. Wenn ein Peer-Cluster nicht mehr verfügbar ist, steht die Witness-Region weiterhin für die Validierung und Verarbeitung von Datenbank-Schreibvorgängen zur Verfügung, sodass kein Verfügbarkeitsverlust entsteht.
Witness-Regionen schützen und sichern Ihre Daten mithilfe der folgendern Designmerkmale:
-
Die Witness-Region empfängt und speichert ausschließlich verschlüsselte Transaktionsprotokolle. Sie wird niemals Ihre Verschlüsselungsschlüssel hosten, speichern oder weitergeben.
-
Die Witness-Region dient lediglich zur Protokollierung von Schreibtransaktionen und Quorumfunktionen. Sie wurde speziell so entwickelt, dass sie Ihre Daten nicht lesen kann.
-
Die Witness-Region arbeitet ohne Clusterverbindungsendpunkte oder Abfrageprozessoren. Dadurch wird jeglicher Zugriff auf die Benutzerdatenbank verhindert.
Weitere Informationen zu Witness-Regionen finden Sie unter Konfigurieren von Clustern mit mehreren Regionen.
