Amazon Aurora 安全性 - Amazon Aurora
將 SSL 與 Aurora 資料庫叢集搭配使用

Amazon Aurora 安全性

Amazon Aurora 的安全性是以三個層級來管理:

  • 若要控制可在 Aurora 資料庫叢集和資料庫執行個體上執行 Amazon RDS 管理動作的人員,您可以使用 AWS Identity and Access Management (IAM)。當您使用 IAM 登入資料連線至 AWS 時,AWS 帳戶必須具備能授予所需許可的 IAM 政策,才能執行 Amazon RDS 管理操作。如需更多詳細資訊,請參閱 Amazon Aurora 的 Identity and access management

    如果您是使用 IAM 來存取 Amazon RDS 主控台,則首先必須使用您的使用者登入資料來登入 AWS Management Console,然後前往 Amazon RDS 主控台:https://console.aws.amazon.com/rds

  • Aurora 資料庫叢集必須在以 Amazon VPC 服務為基礎的 Virtual Private Cloud (VPC) 中建立。若要控制哪些裝置和 Amazon EC2 執行個體可以開放對 VPC 中 Aurora 資料庫叢集的資料庫執行個體端點和連接埠的連線,您可以使用 VPC 安全群組。您可以使用 Transport Layer Security (TLS)/Secure Sockets Layer (SSL) 進行這些端點和連接埠連線。此外,貴公司的防火牆規則可控管在公司內執行的裝置是否可開啟與資料庫執行個體的連線。如需 VPC 的詳細資訊,請參閱Amazon VPC 和 Amazon Aurora

  • 若要驗證 Amazon Aurora 資料庫叢集的登入資訊與許可,您可採取下列任一方式,或搭配使用多種方法。

    • 您可採用與 MySQL 或 PostgreSQL 獨立資料庫執行個體相同的驗證方式。

      用於驗證 MySQL 或 PostgreSQL 獨立資料庫執行個體登入和許可的技術,例如使用 SQL 命令或修改資料庫結構描述資料表,也適用 Aurora。如需詳細資訊,請參閱「Amazon Aurora MySQL 的安全性」或「Amazon Aurora PostgreSQL 的安全性」。

    • 您可以使用 IAM 資料庫身分驗證。

      透過 IAM 資料庫身分驗證,您可以使用使用者或 IAM 角色以及身分驗證字符,向您的 Aurora 資料庫叢集進行身分驗證。身分驗證字符是不重複的值,由 Signature 第 4 版簽署程序所產生。使用 IAM 資料庫身分驗證,便可利用相同的登入資料控管您 AWS 資源與資料庫的存取情形。如需更多詳細資訊,請參閱 IAM 資料庫身分驗證

    • 您可以對 Aurora PostgreSQL 和 Aurora MySQL 使用 Kerberos 身分驗證。

      在使用者連線至您的 Aurora PostgreSQL 和 Aurora MySQL 資料庫叢集時,您可以使用 Kerberos 驗證使用者身分。在此情況下,您的資料庫叢集會使用 AWS Directory Service for Microsoft Active Directory 來啟用 Kerberos 身分驗證。AWS Directory Service for Microsoft Active Directory 也稱為 AWS Managed Microsoft AD。將您的所有登入資料保留在相同目錄可以節省您的時間和精力。這樣您就有一個集中的位置來存放及管理多個資料庫叢集的登入資料。使用目錄也可以改善您的整體安全性描述檔。如需詳細資訊,請參閱搭配 Aurora PostgreSQL 使用 Kerberos 身分驗證針對 Aurora MySQL 使用 Kerberos 身分驗證

如需設定安全性的相關資訊,請參閱Amazon Aurora 中的安全

將 SSL 與 Aurora 資料庫叢集搭配使用

如果應用程式使用與 Amazon RDS 資料庫執行個體相同的程序和公有金鑰,Amazon Aurora 資料庫叢集支援來自這些應用程式的 Secure Sockets Layer (SSL) 連線。如需詳細資訊,請參閱「Amazon Aurora MySQL 的安全性」、「Amazon Aurora PostgreSQL 的安全性」或「搭配 Aurora Serverless v1 使用 TLS/SSL」。