Amazon Aurora DSQL 中的資料保護

共同責任模型適用於中的資料保護。如此模型所述，負責保護執行所有的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用的安全組態和管理任務。如需資料隱私權的詳細資訊，請參閱資料隱私權常見問答集。如需有關歐洲資料保護的相關資訊，請參閱 安全性部落格上的共同的責任模型和 GDPR 部落格文章。

基於資料保護目的，我們建議您保護登入資料，並使用 AWS IAM Identity Center 或設定個別使用者 AWS Identity and Access Management。如此一來，每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料：

每個帳戶均要使用多重要素驗證 (MFA)。
使用 SSL/TLS 與資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
使用設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用線索擷取活動的資訊，請參閱《使用者指南》中的使用線索。
使用加密解決方案，以及中的所有預設安全控制 AWS 服務。
使用進階的受管安全服務 (例如 Amazon Macie)，協助探索和保護儲存在 Amazon S3 的敏感資料。

我們強烈建議您絕對不要將機密或敏感資訊，例如您的客戶電子郵件地址，放入標籤或任意格式的文字欄位中，例如名稱欄位。這包括當您使用或使用主控台、API AWS CLI、或 AWS SDKs的其他時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL，我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

資料加密

Amazon Aurora DSQL 提供高耐用性的儲存基礎設施，專為關鍵任務和主要資料儲存而設計。資料會以備援方式存放在 Aurora DSQL 區域中跨多個設施的多個裝置上。

傳輸中加密

根據預設，會為您設定傳輸中加密。Aurora DSQL 使用 TLS 來加密 SQL 用戶端和 Aurora DSQL 之間的所有流量。

在 AWS CLI SDK 或 API 用戶端與 Aurora DSQL 端點之間加密和簽署傳輸中的資料：

Aurora DSQL 提供 HTTPS 端點，用於加密傳輸中的資料。
為了保護對 Aurora DSQL 提出 API 請求的完整性，呼叫者必須簽署 API 呼叫。根據 Signature 第 4 版簽署程序 (Sigv4)，呼叫由 X.509 憑證或客戶的 AWS 私密存取金鑰進行簽署。如需詳細資訊，請參閱《AWS 一般參考》中的 Signature 第 4 版簽署程序。
使用 AWS CLI 或其中一個 AWS SDKs 向提出請求 AWS。這些工具會自動使用您設定工具時指定的存取金鑰，替您簽署請求。

如需靜態加密，請參閱Aurora DSQL 中的靜態加密。

網際網路流量隱私權

Aurora DSQL 和內部部署應用程式之間，以及 Aurora DSQL 和相同資源內其他 AWS 資源之間的連線都會受到保護 AWS 區域。

您的私有網路與之間有兩個連線選項 AWS：

AWS Site-to-Site連接。如需詳細資訊，請參閱什麼是 AWS Site-to-Site VPN？
AWS Direct Connect 連線。如需詳細資訊，請參閱什麼是 AWS Direct Connect？

您可以使用 AWS發佈的 API 操作，透過網路存取 Aurora DSQL。使用者端必須支援下列專案：

Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
具備完美轉送私密(PFS)的密碼套件，例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

AWS 受管政策

SSL/TLS 憑證