Datenschutz in Amazon Aurora DSQL - Amazon Aurora DSQL
DatenverschlüsselungDatenschutz in Witness-Regionen

Datenschutz in Amazon Aurora DSQL

Das bezieht sich auf den Datenschutz. Wie in diesem Modell beschrieben, ist verantwortlich für den Schutz der globalen Infrastruktur, in der die gesamte ausgeführt wird AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag -Modell der geteilten Verantwortung und in der DSGVO im -Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, Anmeldeinformationen zu schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Verwenden Sie SSL/TLS für die Kommunikation mit -Ressourcen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit AWS CloudTrail ein. Informationen zur Verwendung von Trails zur Erfassung von Aktivitäten finden Sie unter Arbeiten mit Trails im Benutzerhandbuch.

  • Verwenden Sie -Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen in AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

Wir empfehlen dringend, niemals vertrauliche oder sensible Informationen wie die E-Mail-Adressen Ihrer Kunden in Tags oder Freitextfeldern wie Name einzugeben. Dies gilt auch, wenn Sie die Konsole, API, AWS CLI oder AWS-SDKs mit anderen Benutzern teilen. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Datenverschlüsselung

Amazon Aurora DSQL bietet eine sehr robuste Speicherinfrastruktur, die für geschäftskritische und primäre Datenspeicher entwickelt wurde. Daten werden redundant auf mehreren Geräten in verschiedenen Anlagen einer Aurora DSQL-Region gespeichert.

Verschlüsselung während der Übertragung

Die Verschlüsselung bei der Übertragung ist für Sie standardmäßig vorkonfiguriert. Aurora DSQL verwendet TLS zur Verschlüsselung des gesamten Datenverkehrs zwischen Ihrem SQL-Client und Aurora DSQL.

Verschlüsseln und Signieren von Daten während der Übertragung zwischen AWS CLI, SDK oder API-Clients und Aurora DSQL-Endpunkten:

  • Aurora DSQL stellt HTTPS-Endpunkte zur Verschlüsselung von Daten während der Übertragung bereit.

  • Um die Integrität von API-Anforderungen an Aurora DSQL zu schützen, müssen API-Aufrufe vom Aufrufer signiert werden. Die Aufrufe werden von einem X.509-Zertifikat oder vom geheimen AWS-Zugriffsschlüssel des Kunden gemäß dem Signaturprozess von Signature Version 4 (Sigv4) signiert. Weitere Informationen finden Sie unter Signaturprozess mit Signaturversion 4 im Allgemeine AWS-Referenz.

  • Verwenden Sie die AWS CLI oder eines der AWS-SDKs, um Anforderungen an AWS zu senden. Diese Tools signieren automatisch die Anforderungen für Sie mit dem Zugriffsschlüssel, den Sie bei der Konfiguration der Tools angegeben haben.

Siehe Verschlüsselung im Ruhezustand in Aurora DSQL zum Thema Verschlüsselung im Ruhezustand.

Datenschutz für den Datenverkehr zwischen Netzwerken

Verbindungen werden sowohl zwischen Aurora DSQL und On-Premises-Anwendungen, asl auch zwischen Aurora DSQL und anderen AWS-Ressourcen innerhalb derselben AWS-Region geschützt.

Sie haben zwei Verbindungsoptionen zwischen Ihrem privaten Netzwerk und AWS:

Sie erhalten Zugriff auf Aurora DSQL über das Netzwerk, indem Sie AWS-veröffentlichte API-Operationen verwenden. Kunden müssen Folgendes unterstützen:

  • Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Datenschutz in Witness-Regionen

Wenn Sie einen Cluster mit mehreren Regionen erstellen, ermöglicht eine Witness-Region die automatische Wiederherstellung nach einem Ausfall, indem sie an der synchronen Replikation verschlüsselter Transaktionen teilnimmt. Wenn ein Peer-Cluster nicht mehr verfügbar ist, steht die Witness-Region weiterhin für die Validierung und Verarbeitung von Datenbank-Schreibvorgängen zur Verfügung, sodass kein Verfügbarkeitsverlust entsteht.

Witness-Regionen schützen und sichern Ihre Daten mithilfe der folgendern Designmerkmale:

  • Die Witness-Region empfängt und speichert ausschließlich verschlüsselte Transaktionsprotokolle. Sie wird niemals Ihre Verschlüsselungsschlüssel hosten, speichern oder weitergeben.

  • Die Witness-Region dient lediglich zur Protokollierung von Schreibtransaktionen und Quorumfunktionen. Sie wurde speziell so entwickelt, dass sie Ihre Daten nicht lesen kann.

  • Die Witness-Region arbeitet ohne Clusterverbindungsendpunkte oder Abfrageprozessoren. Dadurch wird jeglicher Zugriff auf die Benutzerdatenbank verhindert.

Weitere Informationen zu Witness-Regionen finden Sie unter Konfigurieren von Clustern mit mehreren Regionen.