Amazon Aurora DSQL 中的数据保护
责任共担模式
出于数据保护目的,我们建议您使用 AWS IAM Identity Center 或 AWS Identity and Access Management 来保护凭证和设置各个用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
-
对每个账户使用多重身份验证(MFA)。
-
使用 SSL/TLS 与 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关使用跟踪来捕获活动的信息,请参阅《User Guide》中的 Working with trails。
-
使用加密解决方案以及 AWS 服务中的所有默认安全控制。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
强烈建议您切勿将机密信息或敏感信息(如客户电子邮件地址)放入标签或自由格式文本字段(如名称字段)中。这包括使用控制台、API、AWS CLI 或 AWS SDK 处理其它内容时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
数据加密
Amazon Aurora DSQL 提供了专为任务关键型和主要数据存储设计的高度持久的存储基础设施。在 Aurora DSQL 区域中,数据以冗余方式存储在多个设施间的多个设备中。
传输中加密
默认情况下,为您配置了传输中加密。Aurora DSQL 使用 TLS 来加密 SQL 客户端和 Aurora DSQL 之间的所有流量。
对 AWS CLI、SDK 或 API 客户端与 Aurora DSQL 端点之间的传输中数据进行加密和签名:
-
Aurora DSQL 为加密传输中数据提供了 HTTPS 端点。
-
为了保护向 Aurora DSQL 发出的 API 请求的完整性,API 调用必须由调用方签名。调用由 X.509 证书或客户的 AWS 秘密访问密钥根据前面版本 4 签名流程 (Sigv4) 签名。有关更多信息,请参阅《AWS 一般参考》中的签名版本 4 签名流程。
-
使用 AWS CLI 或 AWS 开发工具包之一向 AWS 发出请求。这些工具会自动使用您在配置工具时指定的访问密钥为您签署请求。
FIPS 合规性
默认情况下,Aurora DSQL 数据面板端点(用于数据库连接的集群端点)使用经 FIPS 140-2 验证的加密模块。集群连接不需要单独的 FIPS 端点。
对于控制面板操作,Aurora DSQL 在支持的区域中提供专用 FIPS 端点。有关控制面板 FIPS 端点的详细信息,请参阅《AWS 一般参考》中的 Aurora DSQL endpoints and quotas。
有关静态加密,请参阅 Aurora DSQL 中的静态加密。
互联网络流量隐私
Aurora DSQL 与本地应用程序之间以及 Aurora DSQL 与同一 AWS 区域内的其它 AWS 资源之间的连接均受到保护。
在您的私有网络和 AWS 之间有两个连接选项:
-
一个AWS Site-to-Site VPN 连接。有关更多信息,请参阅什么是 AWS Site-to-Site VPN?
-
一个 Direct Connect 连接。有关更多信息,请参阅什么是 Direct Connect?
使用 AWS 发布的 API 操作通过网络获取 Aurora DSQL 的访问权限。客户端必须支持以下内容:
-
传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
见证区域中的数据保护
创建多区域集群时,见证区域通过参与加密事务的同步复制来协助实现自动故障恢复。如果对等集群变为不可用,则见证区域保持可用于验证和处理数据库写入,从而确保不丢失可用性。
见证区域通过以下这些设计功能保护和保障您的数据:
-
见证区域仅接收和存储加密的事务日志。它从不托管、存储或传输您的加密密钥。
-
见证区域只重点关注写入事务日志记录和仲裁函数。根据设计,它无法读取您的数据。
-
见证区域在没有集群连接端点或查询处理器的情况下运行。这会阻止用户访问数据库。
有关见证区域的更多信息,请参阅配置多区域集群。
