本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon RDS 中的安全
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。共同責任模型
-
雲端的安全性 – AWS 負責保護在 Cloud AWS 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。在 AWS 合規計畫
中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 Amazon RDS 的合規計劃,請參閱AWS 合規計劃範圍內的服務 。 -
雲端的安全性 – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的敏感度、您組織的需求和適用的法律及法規。
本文件可協助您了解如何在使用 Amazon RDS 時套用共同責任模型。下列主題說明如何設定 Amazon RDS 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Amazon RDS 資源。
您可以在資料庫執行個體上管理對 Amazon RDS 資源和資料庫的存取。您用來管理存取的方法取決於使用者需要使用 Amazon RDS 執行的任務類型:
-
在以 Amazon VPC 服務為基礎的虛擬私有雲端 (VPC) 中執行資料庫執行個體,以獲得最大的網路存取控制。如需在 VPC 中建立資料庫執行個體的詳細資訊,請參閱 Amazon VPC 和 RDSAmazon 。
-
使用 AWS Identity and Access Management (IAM) 政策來指派許可,以決定允許誰管理 Amazon RDS 資源。例如,您可以使用 IAM 來判斷誰可以建立、描述、修改和刪除資料庫執行個體、標記資源或修改安全群組。
-
使用安全群組來控制哪些 IP 地址或 Amazon EC2 執行個體可以連接到資料庫執行個體上的資料庫。首次建立資料庫執行個體時,其防火牆可防止任何資料庫存取,除非透過關聯安全群組指定的規則。
-
搭配執行 Db2、MySQL、MariaDB、PostgreSQL、Oracle 或 Microsoft SQL Server 資料庫引擎的資料庫執行個體使用 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS) 連線。如需搭配資料庫執行個體使用 SSL/TLS 的詳細資訊,請參閱 使用 SSL/TLS 加密與資料庫執行個體或叢集的連線 。
-
使用 Amazon RDS 加密來保護資料庫執行個體和靜態快照。Amazon RDS 加密使用業界標準的 AES-256 加密演算法來加密託管資料庫執行個體的伺服器上的資料。如需詳細資訊,請參閱 加密 Amazon RDS 資源。
-
使用網路加密和透明資料加密與 Oracle 資料庫執行個體搭配;如需詳細資訊,請參閱 Oracle 原生網路加密 和 Oracle 透明資料加密
-
使用資料庫引擎的安全功能來控制誰可以登入資料庫執行個體上的資料庫。這項功能的運作方式就好像資料庫位在您的本機網路上。
注意
您只須針對您的使用案例設定安全。您不需要為 Amazon RDS 管理的程序設定安全存取。這些包括建立備份、在主要資料庫執行個體和僅供讀取複本間複寫資料,以及其他程序。
如需在資料庫執行個體上管理 Amazon RDS 資源和資料庫存取權的詳細資訊,請參閱下列主題。
主題
