Sécurité Amazon Aurora
La sécurité d’Amazon Aurora est gérée à trois niveaux :
-
Pour contrôler les personnes autorisées à exécuter des opérations de gestion Amazon RDS sur des clusters et des instances de base de données Aurora, vous utilisez AWS Identity and Access Management (IAM). Lorsque vous vous connectez à AWS à l’aide des informations d’identification IAM, votre compte AWS doit disposer des politiques IAM qui accordent les autorisations requises pour exécuter les opérations de gestion Amazon RDS. Pour plus d’informations, consultez Identity and Access Management pour Amazon Aurora.
Si vous utilisez un compte IAM pour accéder à la console Amazon RDS, vous devez d’abord vous connecter à la AWS Management Console avec vos informations d’identification, puis accéder à la console Amazon RDS à l’adresse https://console.aws.amazon.com/rds
. -
Les clusters de bases de données Aurora doivent être créés dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC. Pour contrôler les appareils et les instances Amazon EC2 qui peuvent ouvrir des connexions au point de terminaison et au port de l’instance de base de données pour les clusters de bases de données Aurora d’un VPC, vous utilisez un groupe de sécurité VPC. Avec ces points de terminaison et les connexions de port, vous pouvez utiliser TLS/SSL (Transport Layer Security/Secure Sockets Layer). En outre, les règles de pare-feu de votre entreprise peuvent contrôler si les appareils en cours d’exécution dans votre entreprise peuvent ouvrir des connexions à une instance de base de données. Pour plus d’informations sur les VPC, consultez Amazon VPC et Amazon Aurora.
-
Pour authentifier les connexions et les autorisations d’un cluster de bases de données Amazon Aurora, vous pouvez adopter l’une des approches suivantes, ou les combiner.
-
Vous pouvez adopter la même approche qu’avec une instance de base de données autonome de MySQL ou PostgreSQL.
Les techniques d’authentification des connexions et des autorisations pour les instances de base de données autonomes de MySQL ou PostgreSQL, telles que l’utilisation des commandes SQL ou la modification des tables de schéma de base de données, fonctionnent également avec Aurora. Pour plus d’informations, consultez Sécurité avec Amazon Aurora MySQL ou Sécurité avec Amazon Aurora PostgreSQL.
-
Vous pouvez utiliser l’authentification de base de données IAM.
Avec l’authentification de base de données IAM, vous vous authentifiez auprès de votre cluster de bases de données Aurora en utilisant un utilisateur ou un rôle IAM et un jeton d’authentification. Un jeton d’authentification est une valeur unique qui est générée à l’aide du processus de signature Signature Version 4. L’authentification de base de données IAM vous permet d’utiliser les mêmes informations d’identification pour contrôler l’accès à vos ressources AWS et à vos bases de données. Pour plus d’informations, consultez Authentification de base de données IAM.
-
Vous pouvez utiliser l’authentification Kerberos pour Aurora PostgreSQL et Aurora MySQL.
Vous pouvez utiliser Kerberos pour authentifier les utilisateurs lorsqu’ils se connectent à votre cluster de bases de données Aurora PostgreSQL et Aurora MySQL. Dans ce cas, votre cluster de bases de données utilise AWS Directory Service for Microsoft Active Directory pour activer l’authentification Kerberos. AWS Directory Service for Microsoft Active Directory est également appelé AWS Managed Microsoft AD. Vous pouvez gagner du temps et de l’argent en conservant toutes les informations d’identification dans le même annuaire. Vous avez un endroit centralisé de stockage et de gestion des informations d’identification pour plusieurs clusters de bases de données. L’utilisation d’un annuaire peut également améliorer votre profil de sécurité global. Pour plus d’informations, consultez Utilisation de l’authentification Kerberos avec Aurora PostgreSQL et Utilisation de l'authentification Kerberos pour Aurora MySQL.
-
Pour plus d’informations sur la configuration de la sécurité, consultez Sécurité dans Amazon Aurora.
Utilisation de SSL avec les clusters de bases de données Aurora
Les clusters de bases de données Amazon Aurora prennent en charge les connexions Secure Sockets Layer (SSL) à partir des applications utilisant le même processus et la même clé publique que les instances de base de données Amazon RDS. Pour plus d’informations, consultez Sécurité avec Amazon Aurora MySQL, Sécurité avec Amazon Aurora PostgreSQL ou Utilisation de TLS/SSL avec Aurora Serverless v1.
