本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Aurora DSQL 中的資料保護
共同責任模型
基於資料保護目的,我們建議您保護登入資料,並使用 AWS IAM Identity Center 或 設定個別使用者 AWS Identity and Access Management。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
-
每個帳戶均要使用多重要素驗證 (MFA)。
-
使用 SSL/TLS 與資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
-
使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需使用追蹤功能擷取活動的更多詳細資訊,請參閱使用者指南中的使用追蹤功能。
-
使用加密解決方案,以及 AWS 服務內的所有預設安全控制。
-
使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您使用 或使用 主控台、API、 AWS CLI或 AWS SDKs的其他 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
資料加密
Amazon Aurora DSQL 提供高度耐用的儲存基礎結構,專為關鍵任務及主要資料儲存所設計。資料會以備援方式儲存在 Aurora DSQL 區域中多個設施的多部裝置上。
傳輸中加密
預設會為您設定傳輸中加密。Aurora DSQL 使用 TLS 加密 SQL 用戶端與 Aurora DSQL 之間的所有流量。
在 AWS CLI SDK 或 API 用戶端與 Aurora DSQL 端點之間加密和簽署傳輸中的資料:
-
Aurora DSQL 提供 HTTPS 端點用於加密傳輸中的資料。
-
為了保護向 Aurora DSQL 發出 API 請求的完整性,必須由發起人簽署 API 呼叫。根據簽章第 4 版簽署程序 (Sigv4),呼叫由 X.509 憑證或客戶的 AWS 私密存取金鑰進行簽署。如需詳細資訊,請參閱 AWS 一般參考 中的 Signature 第 4 版簽署程序。
-
使用 AWS CLI 或其中一個 AWS SDKs 向 提出請求 AWS。這些工具會自動使用您設定工具時指定的存取金鑰,替您簽署請求。
FIPS 合規
Aurora DSQL 資料平面端點 (用於資料庫連線的叢集端點) 預設會使用 FIPS 140-2 驗證的密碼編譯模組。叢集連線不需要單獨的 FIPS 端點。
對於控制平面操作,Aurora DSQL 在支援的區域中提供專用 FIPS 端點。如需控制平面 FIPS 端點的詳細資訊,請參閱《》中的 Aurora DSQL 端點和配額AWS 一般參考。
靜態加密請參閱 Aurora DSQL 的靜態加密。
網際網路流量隱私權
Aurora DSQL 與內部部署應用程式之間,以及 Aurora DSQL 與相同 AWS 資源之間的連線都會受到保護 AWS 區域。
您的私有網路與 之間有兩個連線選項 AWS:
-
An AWS Site-to-Site VPN 連接。如需詳細資訊,請參閱什麼是 AWS Site-to-Site VPN?
-
Direct Connect 連線。如需詳細資訊,請參閱什麼是 Direct Connect?
您可以使用 AWS發佈的 API 操作透過網路存取 Aurora DSQL。使用者端必須支援下列專案:
-
Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
-
具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
見證區域中的資料保護
您建立多區域叢集時,見證區域會參與加密交易的同步複寫,以協助啟用自動故障復原。如果對等叢集無法使用,見證區域仍可用於驗證和處理資料庫寫入,確保不會喪失可用性。
見證區域透過以下設計功能保護資料安全無虞:
-
見證區域只會接收和儲存加密的交易日誌。其中絕對不會託管、儲存或傳輸您的加密金鑰。
-
見證區域僅專注於寫入交易日誌和仲裁函數。見證區域設計為無法讀取您的資料。
-
見證區域是在沒有叢集連線端點或查詢處理器的情況下運作。這可防止存取使用者資料庫。
如需關於見證區域的詳細資訊,請參閱 設定多區域叢集。
