Segurança da infraestrutura no Amazon Aurora
Como um serviço gerenciado, o Amazon Relational Database Service é protegido pela segurança de rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte Segurança na Nuvem AWS
Você usa chamadas de API publicadas da AWS para acessar o Amazon RDS por meio da rede. Os clientes devem oferecer suporte para:
-
Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Além disso, o Aurora oferece recursos para ajudar a oferecer suporte à segurança da infraestrutura.
Grupos de segurança
Os grupos de segurança controlam o acesso que o tráfego tem dentro e fora de um cluster de banco de dados. Por padrão, o acesso à rede é desativado para um cluster de banco de dados. É possível especificar regras em um grupo de segurança que permitem o acesso de um intervalo de endereço IP, de uma porta ou de grupo de segurança. Depois que as regras de entrada são configuradas, as mesmas regras se aplicam a todos os clusters de banco de dados associados a esse grupo de segurança.
Para ter mais informações, consulte Controlar acesso com grupos de segurança.
Public accessibility
Quando você inicia uma instância de banco de dados dentro de uma nuvem privada virtual (VPC) com base no serviço da Amazon VPC, pode ativar ou desativar a acessibilidade pública para essa instância de banco de dados. Para designar se a instância de banco de dados que você cria tem um nome DNS que é determinado como um endereço IP público, use o parâmetro Public accessibility. Usando esse parâmetro, você pode designar se há acesso público à instância do banco de dados. Você pode modificar uma instância de banco de dados para ativar ou desativar a acessibilidade pública modificando o parâmetro Public accessibility (Acessibilidade pública).
Para obter mais informações, consulte Ocultar um cluster de banco de dados em uma VPC da Internet.
nota
Se sua instância de banco de dados estiver em uma VPC, mas não estiver acessível publicamente, também será possível usar uma conexão AWS Site-to-Site VPN ou uma conexão do AWS Direct Connect para acessá-la de uma rede privada. Para ter mais informações, consulte Privacidade do tráfego entre redes.