View a markdown version of this page

Sécurité Amazon Aurora - Amazon Aurora
Utilisation de SSL avec les clusters de bases de données Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité Amazon Aurora

La sécurité d’Amazon Aurora est gérée à trois niveaux :

  • Pour contrôler qui peut effectuer des actions de gestion Amazon RDS sur les clusters de base de données et les instances de base de données Aurora, vous utilisez Gestion des identités et des accès AWS (IAM). Lorsque vous vous connectez à AWS l'aide d'informations d'identification IAM, votre AWS compte doit disposer de politiques IAM qui accordent les autorisations requises pour effectuer les opérations de gestion Amazon RDS. Pour de plus amples informations, veuillez consulter Identity and Access Management pour Amazon Aurora.

    Si vous utilisez IAM pour accéder à la console Amazon RDS, vous devez d'abord vous connecter à la AWS Management Console avec vos informations d'identification d'utilisateur, puis accéder à la console Amazon RDS à l'adresse /rds. https://console.aws.amazon.com

  • Les clusters de bases de données Aurora doivent être créés dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC. Pour contrôler les appareils et les instances Amazon EC2 qui peuvent ouvrir des connexions au point de terminaison et au port de l’instance de base de données pour les clusters de bases de données Aurora d’un VPC, vous utilisez un groupe de sécurité VPC. Avec ces points de terminaison et les connexions de port, vous pouvez utiliser TLS/SSL (Transport Layer Security/Secure Sockets Layer). En outre, les règles de pare-feu de votre entreprise peuvent contrôler si les appareils en cours d’exécution dans votre entreprise peuvent ouvrir des connexions à une instance de base de données. Pour plus d'informations sur VPCs, voirAmazon VPC et Amazon Aurora.

  • Pour authentifier les connexions et les autorisations d’un cluster de bases de données Amazon Aurora, vous pouvez adopter l’une des approches suivantes, ou les combiner.

    • Vous pouvez adopter la même approche qu’avec une instance de base de données autonome de MySQL ou PostgreSQL.

      Les techniques d’authentification des connexions et des autorisations pour les instances de base de données autonomes de MySQL ou PostgreSQL, telles que l’utilisation des commandes SQL ou la modification des tables de schéma de base de données, fonctionnent également avec Aurora. Pour plus d’informations, consultez Sécurité avec Amazon Aurora MySQL ou Sécurité avec Amazon Aurora PostgreSQL.

    • Vous pouvez utiliser l’authentification de base de données IAM.

      Avec l’authentification de base de données IAM, vous vous authentifiez auprès de votre cluster de bases de données Aurora en utilisant un utilisateur ou un rôle IAM et un jeton d’authentification. Un jeton d’authentification est une valeur unique qui est générée à l’aide du processus de signature Signature Version 4. En utilisant l'authentification de base de données IAM, vous pouvez utiliser les mêmes informations d'identification pour contrôler l'accès à vos AWS ressources et à vos bases de données. Pour de plus amples informations, veuillez consulter Authentification de base de données IAM.

    • Vous pouvez utiliser l’authentification Kerberos pour Aurora PostgreSQL et Aurora MySQL.

      Vous pouvez utiliser Kerberos pour authentifier les utilisateurs lorsqu’ils se connectent à votre cluster de bases de données Aurora PostgreSQL et Aurora MySQL. Dans ce cas, votre cluster de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory pour activer l'authentification Kerberos. AWS Directory Service for Microsoft Active Directory est également appelé AWS Managed Microsoft AD. Vous pouvez gagner du temps et de l’argent en conservant toutes les informations d’identification dans le même annuaire. Vous avez un endroit centralisé de stockage et de gestion des informations d’identification pour plusieurs clusters de bases de données. L’utilisation d’un annuaire peut également améliorer votre profil de sécurité global. Pour plus d’informations, consultez Utilisation de l’authentification Kerberos avec Aurora PostgreSQL et Utilisation de l'authentification Kerberos pour Aurora MySQL.

Pour plus d’informations sur la configuration de la sécurité, consultez Sécurité dans ).

Utilisation de SSL avec les clusters de bases de données Aurora

Les clusters de bases de données Amazon Aurora prennent en charge les connexions Secure Sockets Layer (SSL) à partir des applications utilisant le même processus et la même clé publique que les instances de base de données Amazon RDS. Pour plus d’informations, consultez Sécurité avec Amazon Aurora MySQL ou Sécurité avec Amazon Aurora PostgreSQL.