Seguridad en Amazon Aurora - Amazon Aurora

Seguridad en Amazon Aurora

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y un centro de datos que están diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

  • Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información acerca de los programas de conformidad que se aplican a Amazon Aurora (Aurora), consulte los servicios de AWS en el ámbito del programa de conformidad.

  • Seguridad en la nube: su responsabilidad se determina según el servicio de AWSque utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Amazon Aurora. En los siguientes temas, se le mostrará cómo configurar Amazon Aurora para satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que ayuden a monitorear y proteger los recursos de Amazon Aurora.

Es posible controlar el acceso a los recursos de Amazon Aurora y sus bases de datos en un clúster de bases de datos. El método que se utiliza para controlar el acceso depende del tipo de tarea que el usuario necesite realizar con Amazon Aurora:

  • Ejecute su clúster de bases de datos en una nube privada virtual (VPC) basándose en el servicio de Amazon VPC para el posible control de acceso de red más grande. Para obtener más información acerca de la creación de un clúster de bases de datos en una VPC, consulte VPC de Amazon y Amazon Aurora.

  • Utilice políticas de AWS Identity and Access Management (IAM) para asignar permisos que determinen quién puede administrar los recursos de Amazon Aurora. Por ejemplo, puede utilizar IAM para determinar quién tiene permiso para crear, describir, modificar y eliminar clústeres de bases de datos, etiquetar recursos o modificar grupos de seguridad.

    Para ver ejemplos de política de IAM, consulte Ejemplos de políticas basadas en identidad para Amazon Aurora.

  • Utilice grupos de seguridad para controlar las direcciones IP o instancias Amazon EC2 que pueden conectarse a las bases de datos de un clúster de bases de datos. Cuando se crea un clúster de bases de datos por primera vez, su firewall impide cualquier acceso a las bases de datos, salvo si se cumplen las reglas especificadas por un grupo de seguridad asociado.

  • Utilice Capa de conexión segura (SSL) o Transport Layer Security (TLS) con clústeres de base de datos que ejecuten Aurora MySQL o Aurora PostgreSQL. Para obtener más información sobre el uso de SSL/TLS con un clúster de bases de datos, consulte Uso de SSL/TLS para cifrar una conexión a un clúster de base de datos.

  • Utilice el cifrado de Amazon Aurora para proteger sus clústeres de base de datos y las instantáneas en reposo. El cifrado de Amazon Aurora utiliza el algoritmo de cifrado AES-256 estándar del sector para cifrar los datos en el servidor que aloja clústeres de bases de datos. Para obtener más información, consulte Cifrado de recursos de Amazon Aurora.

  • Utilice las características de seguridad del motor de base de datos para controlar quién puede iniciar sesión en las bases de datos de un clúster de bases de datos. Estas características funcionas de igual forma que si la base de datos estuviera en su red local.

    Para obtener información sobre seguridad con Aurora MySQL, consulte Seguridad con Amazon Aurora MySQL. Para obtener información sobre seguridad con Aurora PostgreSQL, consulte Seguridad con Amazon Aurora PostgreSQL.

Aurora forma parte del servicio de base de datos administrada de Amazon Relational Database Service (Amazon RDS). Amazon RDS es un servicio web que facilita la configuración, el funcionamiento y el escalado de una base de datos relacional en la nube. Si no está familiarizado con Amazon RDS, consulte la Guía del usuario de Amazon RDS.

Aurora incluye un subsistema de almacenamiento de alto rendimiento. Sus motores de base de datos compatibles con MySQL y PostgreSQL están personalizados para aprovechar su almacenamiento de rápida distribución. Aurora también automatiza y estandariza la agrupación en clústeres y la reproducción de base de datos, que suelen ser algunos de los aspectos más problemáticos de la configuración y administración de las bases de datos.

En Amazon RDS y Aurora, puede acceder mediante programación de la API de RDS y puede utilizar la AWS CLI para acceder de forma interactiva a la API de RDS. Algunas operaciones de la API de RDS y los comandos de AWS CLI se aplican a Amazon RDS y a Aurora, mientras que otros se aplican a Amazon RDS o a Aurora. Para obtener información sobre operaciones de API de RDS, consulte Referencia de API de Amazon RDS. Para obtener más información acerca de AWS CLI, consulte la referencia de AWS Command Line Interface para Amazon RDS.

nota

Solo tiene que configurar la seguridad para sus casos de uso. No tiene que configurar el acceso de seguridad para procesos que Amazon Aurora administra. Entre ellos, se incluye la creación de copias de seguridad, la conmutación por error automática y otros procesos.

Para obtener más información acerca de la administración del acceso a los recursos de Amazon Aurora y las bases de datos de un clúster de bases de datos, consulte los siguientes temas.

Temas