Proteção de dados no Amazon Aurora DSQL
O Modelo de Responsabilidade Compartilhada
Para fins de proteção de dados, é recomendável que você proteja as credenciais e configure usuários individuais com o AWS IAM Identity Center ou o AWS Identity and Access Management. Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use uma autenticação multifator (MFA) com cada conta.
-
Use SSL/TLS para se comunicar com os recursos da . Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Configure os logs de API e atividade do usuário com AWS CloudTrail. Para ter informações sobre como usar trilhas para capturar atividades, consulte Working with trails no Guia do usuário do AWS CloudTrail.
-
Use as soluções de criptografia, bem como todos os controles de segurança padrão nos Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo Nome. Isso inclui trabalhar com ou outros serviços usando o console, a API, a AWS CLI ou os SDKs da AWS. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, recomendamos fortemente que não inclua informações relacionadas às credenciais no URL para validar sua solicitação para esse servidor.
Criptografia de dados
O Amazon Aurora DSQL oferece uma infraestrutura de armazenamento resiliente projetada para armazenamento de dados essenciais e primários. Os dados são armazenados de maneira redundante em vários dispositivos de diversas instalações em uma região do Aurora DSQL.
Criptografia em trânsito
Por padrão, a criptografia em trânsito é configurada para você. O Aurora DSQL usa TLS para criptografar todo tráfego entre o cliente SQL e o Aurora DSQL.
Criptografia e assinatura de dados em trânsito entre os clientes da AWS CLI, do SDK ou da API e os endpoints do Aurora DSQL:
-
O Aurora DSQL fornece endpoints HTTPS para criptografar dados em trânsito.
-
Para proteger a integridade das solicitações de API para o Aurora DSQL, as chamadas de API devem ser assinadas pelo autor da chamada. As chamadas são assinadas por um certificado X.509 ou pela chave de acesso secreta AWS de acordo com o Processo de assinatura do Signature versão 4 (Sigv4). Para obter mais informações, consulte o Processo de assinatura do Signature versão 4 em Referência geral da AWS.
-
Use a AWS CLI ou um dos AWS SDKs para fazer solicitações à AWS. Essas ferramentas autenticam automaticamente as solicitações para você com a chave de acesso especificada na configuração das ferramentas.
Sobre a criptografia em repouso, consulte Criptografia em repouso no Aurora DSQL.
Privacidade do tráfego entre redes
As conexões são protegidas entre o Aurora DSQL e as aplicações on-premises e entre o Aurora DSQL e outros recursos da AWS na mesma Região da AWS.
Você tem duas opções de conectividade entre sua rede privada e a AWS:
-
Uma conexão AWS Site-to-Site VPN. Para ter mais informações, consulte O que é o AWS Site-to-Site VPN?
-
Uma conexão AWS Direct Connect. Para ter mais informações, consulte O que é o AWS Direct Connect?
Você obtém acesso ao Aurora DSQL pela rede usando operações de API publicadas pela AWS. Os clientes devem oferecer compatibilidade com:
-
Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
