View a markdown version of this page

Amazon Aurora-Sicherheit - Amazon Aurora
Verwenden von SSL mit Aurora-DB-Clustern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Aurora-Sicherheit

Die Sicherheit für Amazon Aurora wird auf drei Ebenen verwaltet:

  • Um zu kontrollieren, wer Amazon RDS-Managementaktionen auf Aurora-DB-Clustern und DB-Instances ausführen kann, verwenden Sie AWS Identity and Access Management (IAM). Wenn Sie AWS mithilfe von IAM-Anmeldeinformationen eine Verbindung herstellen, muss Ihr AWS Konto über IAM-Richtlinien verfügen, die die für die Durchführung von Amazon RDS-Verwaltungsvorgängen erforderlichen Berechtigungen gewähren. Weitere Informationen finden Sie unter Identity and Access Management für Amazon Aurora.

    Wenn Sie IAM für den Zugriff auf die Amazon RDS-Konsole verwenden, müssen Sie sich zuerst AWS-Managementkonsole mit Ihren Benutzeranmeldeinformationen bei der anmelden und dann zur Amazon RDS-Konsole unter https://console.aws.amazon.com/rdswechseln.

  • Aurora-DB-Cluster müssen in einer Virtual Private Cloud (VPC) basierend auf dem Amazon VPC-Service erstellt werden. Mithilfe einer VPC-Sicherheitsgruppe können Sie steuern, welche Geräte und Amazon EC2-Instances Verbindungen zum Endpunkt und Port der DB-Instance für Aurora-DB-Cluster in einer VPC herstellen können. Diese Endpunkt- und Portverbindungen können mithilfe von Transport Layer Security (TLS)/Secure Sockets Layer (SSL) erstellt werden. Zusätzlich können Firewall-Regeln in Ihrem Unternehmen steuern, ob in Ihrem Unternehmen verwendete Geräte Verbindungen mit einer DB-Instance herstellen dürfen. Weitere Informationen zu VPCs finden Sie unter Amazon VPC und Amazon Aurora.

  • Um Anmeldungen und Berechtigungen für einen Amazon Aurora-DB-Cluster zu authentifizieren, können Sie einen der folgenden Ansätze oder eine Kombination aus diesen wählen.

    • Sie können denselben Ansatz wie bei einer eigenständigen DB-Instance in MySQL oder PostgreSQL wählen.

      Techniken zur Authentifizierung von Anmeldungen und Berechtigungen für eigenständige MySQL- oder PostgreSQL-DB-Instances, wie z. B. die Verwendung von SQL-Befehlen oder die Änderung von Datenbankschematabellen, funktionieren auch mit Aurora. Weitere Informationen finden Sie unter Sicherheit in Amazon Aurora MySQL oder Sicherheit in Amazon Aurora PostgreSQL.

    • Sie können die IAM-Datenbank-Authentifizierung verwenden.

      Mit der IAM-Datenbank-Authentifizierung authentifizieren Sie sich bei Ihrem Aurora-DB-Cluster, indem Sie einen Benutzer oder eine IAM-Rolle und ein Authentifizierungstoken verwenden. Ein Authentifizierungstoken ist ein eindeutiger Wert, der mithilfe des Signatur-Version 4-Signiervorgangs erstellt wird. Mithilfe der IAM-Datenbankauthentifizierung können Sie dieselben Anmeldeinformationen verwenden, um den Zugriff auf Ihre AWS Ressourcen und Datenbanken zu kontrollieren. Weitere Informationen finden Sie unter IAM-Datenbankauthentifizierung.

    • Sie können die Kerberos-Authentifizierung für Aurora PostgreSQL und Aurora MySQL verwenden.

      Sie können Kerberos verwenden, um Benutzer zu authentifizieren, wenn diese sich mit Ihrem DB-Cluster von Aurora PostgreSQL und Aurora MySQL verbinden. In diesem Fall aktiviert Ihr DB-Cluster die Kerberos-Authentifizierung mit AWS Directory Service for Microsoft Active Directory . AWS Directory Service for Microsoft Active Directory wird auch genannt. AWS Managed Microsoft AD Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Sie haben einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern. Weitere Informationen erhalten Sie unter Verwenden der Kerberos-Authentifizierung mit Aurora PostgreSQL und Verwenden der Kerberos-Authentifizierung für Aurora MySQL.

Weitere Informationen zur Sicherheitskonfiguration finden Sie unter Sicherheit in Amazon Aurora.

Verwenden von SSL mit Aurora-DB-Clustern

Amazon Aurora-DB-Cluster unterstützten Secure Sockets Layer (SSL)-Verbindungen von Anwendungen mithilfe desselben Prozesses und desselben öffentlichen Schlüssels wie Amazon-RDS-DB-Instances. Für weitere Informationen siehe Sicherheit in Amazon Aurora MySQL oder Sicherheit in Amazon Aurora PostgreSQL.