# Amazon RDS의 인프라 보안
<a name="infrastructure-security"></a>

관리형 서비스인 Amazon Relational Database Service는 AWS 전역 네트워크 보안으로 보호됩니다. AWS 보안 서비스와 AWS의 인프라 보호 방법에 대한 자세한 내용은 [AWS 클라우드 보안](https://aws.amazon.com/security/)을 참조하세요. 인프라 보안에 대한 모범 사례를 사용하여 AWS 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)를 참조하세요.

AWS에서 게시한 API 호출을 사용하여 네트워크를 통해 Amazon RDS에 액세스합니다. 고객은 다음을 지원해야 합니다.
+ Transport Layer Security(TLS) TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군 Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 Amazon RDS는 인프라 보안을 지원하는 기능을 제공합니다.

## 보안 그룹
<a name="infrastructure-security.security-groups"></a>

보안 그룹은 DB 인스턴스에서 송수신되는 트래픽에 대한 액세스를 제어합니다. 기본적으로 DB 인스턴스에 대한 네트워크 액세스는 해제되어 있습니다. IP 주소 범위, 포트 또는 보안 그룹에서 액세스를 허용하는 보안 그룹의 규칙을 지정할 수 있습니다. 수신 규칙이 설정되면 동일한 규칙이 해당 보안 그룹과 연결된 모든 DB 인스턴스에 적용됩니다.

자세한 내용은 [보안 그룹을 통한 액세스 제어](Overview.RDSSecurityGroups.md) 단원을 참조하세요.

## 퍼블릭 액세스 가능성
<a name="infrastructure-security.publicly-accessible"></a>

Amazon VPC 서비스 기반 Virtual Private Cloud(VPC)에서 DB 인스턴스를 시작할 때 해당 DB 인스턴스의 퍼블릭 액세스를 켜거나 끌 수 있습니다. *퍼블릭 액세스 가능성* 파라미터를 사용하여 사용자가 생성한 DB 인스턴스가 퍼블릭 IP 주소로 확인되는 DNS 이름을 가지도록 지정할 수 있습니다. 이 파라미터를 사용하여 DB 인스턴스에 대한 퍼블릭 액세스 여부를 지정할 수 있습니다. *Public accessibility* 파라미터를 수정하여 퍼블릭 액세스 가능성을 켜거나 끄도록 DB 인스턴스를 수정할 수 있습니다.

자세한 내용은 [VPC에 있는 DB 인스턴스를 인터넷에서 숨기기](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.Hiding) 섹션을 참조하세요.

**참고**  
DB 인스턴스가 VPC에 있지만 공개적으로 액세스할 수 없는 경우 AWS Site-to-Site VPN 연결 또는 Direct Connect 연결을 사용하여 프라이빗 네트워크에서 액세스할 수도 있습니다. 자세한 내용은 [인터네트워크 트래픽 개인 정보](inter-network-traffic-privacy.md) 단원을 참조하세요.