Amazon Aurora 安全性 - Amazon Aurora
SSL 搭配 Aurora 資料庫叢集使用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Aurora 安全性

Amazon Aurora 的安全性是以三個層級來管理:

  • 若要控制誰可以在 Aurora 資料庫叢集和資料庫執行個體上執行 Amazon RDS管理動作,您可以使用 AWS Identity and Access Management (IAM)。當您 AWS 使用IAM登入資料連線至 時, AWS 您的帳戶必須具有授予執行 Amazon RDS管理操作所需許可IAM的政策。如需詳細資訊,請參閱Amazon Aurora 的身分和存取管理

    如果您使用 IAM 存取 Amazon RDS主控台,您必須先 AWS Management Console 使用使用者登入資料登入 ,然後前往位於 https://console.aws.amazon.com/rds 的 Amazon RDS主控台。

  • Aurora 資料庫叢集必須根據 Amazon VPC服務在虛擬私有雲端 (VPC) 中建立。若要控制哪些裝置和 Amazon EC2執行個體可以開啟 中 Aurora 資料庫叢集之資料庫執行個體端點和連接埠的連線VPC,您可以使用VPC安全群組。您可以使用 Transport Layer Security (TLS)/Secure Sockets Layer () 建立這些端點和連接埠連線SSL。此外,貴公司的防火牆規則可控管在公司內執行的裝置是否可開啟與資料庫執行個體的連線。如需 VPCs 的詳細資訊,請參閱Amazon VPC 和 極光

  • 若要驗證 Amazon Aurora 資料庫叢集的登入資訊與許可,您可採取下列任一方式,或搭配使用多種方法。

    • 您可以採取與 MySQL 或 Postgre 之獨立資料庫執行個體相同的方法SQL。

      用於驗證 MySQL 或 Postgre 之獨立資料庫執行個體登入和許可的技術SQL,例如使用SQL命令或修改資料庫結構描述表,也適用於 Aurora。如需詳細資訊,請參閱 Amazon Aurora MySQL 的安全性Amazon Aurora PostgreSQL 的安全性

    • 您可以使用IAM資料庫身分驗證。

      透過IAM資料庫身分驗證,您可以使用使用者或IAM角色和身分驗證字符,對 Aurora 資料庫叢集進行身分驗證。身分驗證字符是不重複的值,由 Signature 第 4 版簽署程序所產生。透過使用IAM資料庫身分驗證,您可以使用相同的登入資料來控制對 AWS 資源和資料庫的存取。如需詳細資訊,請參閱 IAM 資料庫身分驗證

    • 您可以使用 Aurora PostgreSQL 和 Aurora My 的 Kerberos 身分驗證SQL。

      您可以使用 Kerberos 在使用者連線到 Aurora PostgreSQL 和 Aurora MySQLDB 叢集時驗證使用者。在此情況下,您的資料庫叢集會搭配 使用 AWS Directory Service for Microsoft Active Directory ,以啟用 Kerberos 身分驗證。 AWS Directory Service for Microsoft Active Directory 也稱為 AWS Managed Microsoft AD。將您的所有登入資料保留在相同目錄可以節省您的時間和精力。這樣您就有一個集中的位置來存放及管理多個資料庫叢集的登入資料。使用目錄也可以改善您的整體安全性描述檔。如需詳細資訊,請參閱 搭配 Aurora PostgreSQL 使用 Kerberos 身分驗證使用 Aurora My 的 Kerberos 身分驗證SQL

如需設定安全性的相關資訊,請參閱Amazon Aurora 中的安全

SSL 搭配 Aurora 資料庫叢集使用

Amazon Aurora 資料庫叢集支援使用與 Amazon 資料庫執行個體相同的程序和公有金鑰從應用程式進行 Secure Sockets Layer RDS (SSL) 連線。如需詳細資訊,請參閱「Amazon Aurora MySQL 的安全性」、「Amazon Aurora PostgreSQL 的安全性」或「搭配 Aurora Serverless v1 使用 TLS/SSL」。