Sécurité d’Amazon RDS
Amazon Relational Database Service (Amazon RDS) est un service de base de données relationnelle géré qui offre le choix entre huit moteurs de base de données populaires : Amazon Aurora PostgreSQL-Compatible Edition, Amazon Aurora MySQL-Compatible Edition, RDS for PostgreSQL, RDS for MySQL, RDS for MariaDB, RDS for SQL Server, RDS for Oracle et RDS for Db2.
Amazon RDS et Amazon Aurora fournissent un ensemble de fonctionnalités qui garantissent le stockage et l'accès à vos données en toute sécurité. Exécutez votre base de données dans cloud privé virtuel (VPC) Amazon pour une isolation au niveau du réseau. Utilisez des groupes de sécurité pour contrôler les adresses IP ou les instances Amazon EC2 qui peuvent se connecter à vos bases de données. Ce pare-feu intégré empêche tout accès à la base de données, sauf selon les règles que vous spécifiez.
Utilisez les politiques AWS Identity and Access Management (IAM) pour attribuer des autorisations qui déterminent qui est autorisé à gérer les ressources Amazon RDS. Utilisez les fonctionnalités de sécurité de votre moteur de base de données pour contrôler qui peut se connecter aux bases de données, comme vous le feriez si la base de données se trouvait sur votre réseau local. Vous pouvez également faire correspondre les utilisateurs de la base de données aux rôles IAM pour un accès fédéré.
Utilisez les connexions SSL/TLS (Secure Socket Layer/Transport Layer Security) pour crypter les données en transit. Chiffrez le stockage et les sauvegardes de votre base de données au repos à l'aide d'Amazon Key Management Service (KMS). Surveillez l'activité des bases de données et intégrez-les aux applications de sécurité des bases de données partenaires grâce à Database Activity Streams.
Chiffrement des données au repos
Amazon RDS chiffre vos bases de données à l'aide de clés que vous gérez avec AWS Key Management Service (KMS). Sur une instance de base de données s'exécutant avec le chiffrement Amazon RDS, les données au repos dans le stockage sous-jacent, les sauvegardes automatisées, les réplicas en lecture et les instantanés sont chiffrés. Le chiffrement Amazon RDS utilise l'algorithme de chiffrement AES-256 selon les normes du secteur pour chiffrer vos données sur le serveur qui héberge votre instance Amazon RDS.
Amazon RDS prend également en charge le chiffrement transparent des données (TDE) pour SQL Server (SQL Server Enterprise Edition et Standard Edition) et Oracle (option Oracle Advanced Security dans Oracle Enterprise Edition). Avec TDE, le serveur de base de données chiffre automatiquement les données avant qu'elles ne soient écrites dans le stockage et déchiffre automatiquement les données lorsqu'elles sont lues depuis le stockage.
Amazon RDS fournit un guide des bonnes pratiques en analysant les indicateurs de configuration et d'utilisation des instances de votre base de données. Les recommandations concernent des domaines tels que la sécurité, le chiffrement, le IAM et le VPC. Vous pouvez parcourir les recommandations disponibles et effectuer les actions conseillées immédiatement, les inclure à votre prochain créneau de maintenance ou les ignorer complètement.
Chiffrement des données en transit
Chiffrez les communications entre votre application et l’instance de votre base de donnée grâce au protocole SSL/TLS. Lorsque vous allouez une instance de base de données, Amazon RDS crée un certificat SSL et installe le certificat sur l'instance lorsque celle-ci est provisionnée. Pour MySQL, lancez le client mysql à l'aide du paramètre --ssl_ca pour référencer la clé publique afin de chiffrer les connexions. Pour SQL Server, téléchargez la clé publique et importez le certificat dans votre système d'exploitation Windows. RDS for Oracle utilise le chiffrement réseau natif d'Oracle avec une instance de base de données. Il vous suffit d'ajouter l'option de chiffrement réseau natif à un groupe d'options et d'associer ce groupe d'options à l'instance de base de données. Une fois qu'une connexion chiffrée est établie, les données transférées entre l'instance de base de données et votre application seront chiffrées pendant le transfert. Vous pouvez aussi demander à votre instance de base de données de n’accepter que les connexions chiffrées.
Contrôle d'accès
Amazon RDS s’intègre à AWS Identity and Access Management (IAM) et vous permet de contrôler les opérations que vos groupes et utilisateurs IAM AWS peuvent effectuer sur certaines ressources (par exemple : instances de base de données, instantanés de base de données, groupes de paramètres de base de données, abonnements à des événements de base de données et groupes d'options de base de données). Vous pouvez, en outre, baliser vos ressources et contrôler les opérations que vos groupes et utilisateurs IAM peuvent effectuer sur des groupes de ressources ayant la même balise (et valeur de balise). Pour plus d'informations sur l'intégration IAM, consultez la documentation relative à l'authentification de base de données IAM.
Vous pouvez, également ajouter des balises à vos ressources Amazon RDS et contrôler ainsi les opérations que vos groupes et utilisateurs IAM peuvent effectuer sur des groupes de ressources ayant la même balise et valeur associée. Par exemple, vous pouvez configurer les règles de IAM pour permettre aux développeurs de modifier des instances de base de données « Développement », en veillant à ce que seuls les administrateurs de base de données puissent modifier des instances de base de données « Production ».
Lorsque vous créez pour la première fois une instance de base de données dans Amazon RDS, vous créez un compte utilisateur principal, qui est utilisé uniquement dans le contexte d'Amazon RDS pour contrôler l'accès à votre/vos instance(s) de base de données. Le compte utilisateur principal est un compte utilisateur de base de données natif qui vous permet de vous connecter à votre instance de base de données avec tous les privilèges de base de données. Vous pouvez spécifier le nom de l'utilisateur principal et le mot de passe que vous voulez associer à chaque instance de base de données lorsque vous créez l'instance de base de données. Une fois que vous avez créé votre instance de base de données, vous pouvez vous connecter à la base de données en utilisant les informations d'identification de l'utilisateur principal. Par la suite, vous pouvez créer des comptes utilisateur supplémentaires, afin de pouvoir limiter l'accès des personnes à votre instance de base de données.
Isolement du réseau et pare-feu de la base de données
Avec le cloud privé virtuel (VPC) d’Amazon, vous pouvez isoler vos instances de base de données au sein de votre propre réseau virtuel et vous connecter à votre infrastructure informatique existante à l'aide d'une solution de connexion VPN IPsec chiffrée selon les normes du secteur.
Amazon VPC vous permet d'isoler vos instances de base de données en spécifiant la plage d'adresses IP que vous souhaitez utiliser et se connecte à votre infrastructure informatique existante par le biais d'un VPN IPsec chiffré selon les normes du secteur. L'exécution d'Amazon RDS dans un VPC vous permet de disposer d'une instance de base de données au sein d'un sous-réseau privé. Vous pouvez également configurer une passerelle virtuelle privée en extension de votre réseau d'entreprise vers votre VPC et autoriser l'accès à l'instance de base de données Amazon RDS dans ce VPC. Pour en savoir plus, consultez le guide de l'utilisateur Amazon VPC. Les instances de base de données déployées dans un VPC Amazon sont accessibles depuis Internet ou depuis les instances EC2 Amazon en dehors du VPC via un VPN ou des hôtes bastions que vous pouvez lancer dans votre sous-réseau public. Pour utiliser un hôte bastion, vous devez configurer un sous-réseau public dans une instance EC2 faisant office de bastion SSH. Ce sous-réseau public doit disposer d'une passerelle internet et de règles de routage autorisant l'acheminement du trafic via l'hôte SSH. Celui-ci doit à son tour transférer les requêtes vers l'adresse IP privée de votre instance de base de données Amazon RDS. Les groupes de sécurité de base de données peuvent être utilisés pour sécuriser les instances de base de données au sein d'Amazon VPC. De plus, le trafic de réseau entrant et sortant dans chaque sous-réseau peut être autorisé ou refusé via les ACL réseau. Tout le trafic réseau entrant et sortant de votre VPC Amazon via la connexion VPN IPsec peut être inspecté par votre infrastructure de sécurité sur site, y compris les pare-feu réseau et les systèmes de détection d'intrusion.
Flux d'activité de base de données
Au-delà des menaces de sécurité externes, les bases de données gérées doivent fournir une protection contre les risques internes émanant des administrateurs de bases de données (DBA). Les flux d'activité de base de données, actuellement pris en charge pour Amazon Aurora et Amazon RDS for Oracle, fournissent un flux de données en temps réel sur l'activité de la base de données dans votre base de données relationnelle. Lorsqu'il est intégré à des outils de surveillance d'activité de base de données tiers, vous pouvez surveiller et d'auditer l'activité de la base de données afin de fournir des garanties pour votre base de données et répondre aux exigences de conformité et de réglementation.
Database Activity Streams protège votre base de données contre les menaces internes en mettant en œuvre un modèle de protection qui contrôle l'accès des DBA au flux d'activité de la base de données. Ainsi, la collecte, la transmission, le stockage et le traitement ultérieur du flux d'activité de la base de données ne sont pas accessibles aux DBA qui gèrent la base de données.
Le flux est transféré vers un flux de données Amazon Kinesis créé pour le compte de votre base de données. À partir de Kinesis Data Firehose, le flux d'activité de la base de données peut ensuite être consommé par Amazon CloudWatch ou par des applications partenaires pour la gestion de la conformité, telles qu'IBM Security Guardium. Ces applications partenaires peuvent utiliser les informations du flux d'activité de base de données pour générer des alertes et fournir un audit de l'activité sur vos bases de données Amazon Aurora.
Pour en savoir plus sur l'utilisation de Database Activity Streams pour les édition d’Aurora compatibles avec PostgreSQL et MySQL, consultez la page de documentation. Pour en savoir plus sur Amazon RDS for Oracle, consultez la page de documentation.
« La protection des données Imperva utilise les flux des événements AWS Database Activity Stream (DAS) (ainsi que de diverses autres sources AWS), ajoutant ainsi un contexte de sécurité grâce à des analyses puissantes et spécifiques. Imperva détecte les activités malveillantes, les comportements évasifs et les abus de privilèges qui peuvent être des indicateurs de comptes compromis et d'éléments de menace interne. Parmi les autres avantages, citons l'exploration interactive des données, une automatisation complète prête à l'emploi et une réponse intégrée grâce à des outils permettant de réduire le coût total de possession et de combler les lacunes en matière de compétences auxquelles la plupart des entreprises sont confrontées lorsqu'elles migrent vers le cloud. » – Dan Neault, vice-président principal et directeur général de la BU Sécurité des données, Imperva.
Pour en savoir plus, rendez-vous sur la page relative à la sécurité des données d'Imperva.
« IBM Security® Guardium® Data Protection contribue à garantir la sécurité, la confidentialité et l'intégrité des données critiques dans un large éventail d'environnements, des bases de données aux big data, en passant par le cloud hybride/cloud, les systèmes de fichiers, et bien plus encore. Nous sommes ravis nous intégrer à AWS Database Activity Streams (DAS). Cette intégration donnera à nos clients communs une visibilité en temps quasi réel de l'activité des bases de données, et leur permettra d'identifier rapidement les menaces et d'adopter une approche stratégique cohérente en matière de protection des données dans les environnements sur site et dans le cloud. » – Benazeer Daruwalla, responsable des offres, portefeuille de protection des données, IBM Security.
Pour en savoir plus, rendez-vous sur la page relative à la sécurité d'IBM.
Conformité
Amazon RDS s'engage à offrir aux clients un référentiel de conformité solide, ainsi que des mesures de sécurité et des outils avancés que les clients peuvent utiliser pour évaluer, respecter et démontrer la conformité aux obligations réglementaires et juridiques en vigueur. Les clients doivent consulter le modèle de responsabilité partagée d'AWS et mettre en correspondance les responsabilités d'Amazon RDS avec celles des clients. Les clients peuvent également utiliser AWS Artifact pour accéder aux rapports d'audit de RDS et ainsi mener leur évaluation des responsabilités en matière de contrôle.
Pour en savoir plus, reportez-vous à la page relative à la conformité d’AWS.
Questions fréquentes (FAQ)
Qu'est-ce que le cloud privé virtuel (VPC) Amazon et comment fonctionne-t-il avec Amazon RDS ?
Amazon VPC vous permet de créer un environnement de réseau virtuel dans une section privée et isolée du Cloud AWS, où vous pouvez exercer un contrôle total sur les aspects tels que les plages d'adresses IP privées, les sous-réseaux, les tables de routage et les passerelles réseau. Avec Amazon VPC, vous pouvez définir une topologie de réseau virtuel et personnaliser la configuration réseau afin qu'elle ressemble étroitement à un réseau IP classique que vous pourriez exploiter dans votre propre centre de données.
Les avantages du VPC peuvent vous profiter lorsque vous souhaitez exécuter une application web destinée au grand public tout en conservant des serveurs backend non accessibles au public dans un sous-réseau privé. Vous pouvez créer un sous-réseau destiné au grand public pour vos serveurs web avec accès à Internet et placer vos instances de base de données Amazon RDS backend dans un sous-réseau privé sans accès Internet. Pour plus d'informations sur Amazon VPC, consultez le Guide d'utilisateur du cloud privé virtuel Amazon.
En quoi l'utilisation d'Amazon RDS au sein d'un VPC diffère-t-elle de celle sur la plate-forme EC2-Classic (en dehors d'un VPC) ?
Si vous avez créé votre compte AWS avant le 04/12/2013, il se peut que vous puissiez exécuter Amazon RDS dans un environnement Amazon Elastic Compute Cloud (EC2)-Classic. La fonctionnalité de base d'Amazon RDS est la même, que VPC EC2–Classic ou EC2 soit ou non utilisé. Amazon RDS gère les sauvegardes, l'application des correctifs logiciels, la détection automatique des pannes, les réplicas en lecture et la restauration, que vos instances de base de données soient déployées à l'intérieur ou à l'extérieur d'un VPC. Pour plus d'informations sur les différences entre EC2-Classic et EC2-VPC, consultez la documentation d'EC2.
Qu'est-ce qu'un groupe de sous-réseau de base de données et pourquoi en ai-je besoin ?
Un groupe de sous-réseaux de base de données est un ensemble de sous-réseaux que vous pouvez désigner pour vos instances de base de données Amazon RDS dans un VPC. Chaque groupe de sous-réseaux de base de données doit posséder au minimum un sous-réseau pour chaque zone de disponibilité d'une région donnée. Lors de la création d'une instance de base de données dans VPC, vous devez sélectionner un groupe de sous-réseau de base de données. Amazon RDS utilise ensuite le groupe de sous-réseau de base de données et votre zone de disponibilité préférée pour sélectionner un sous-réseau et une adresse IP dans ce sous-réseau. Amazon RDS crée et associe une interface réseau Elastic à votre instance de base de données avec cette adresse IP.
Nous vous recommandons vivement d'utiliser le nom du DNS pour la connexion à votre instance de base de données, car l'adresse IP sous-jacente peut être modifiée (par exemple pendant un basculement).
Pour les déploiements Multi-AZ, la définition d'un sous-réseau pour toutes les zones de disponibilité d'une région permet à Amazon RDS de créer une instance de secours dans une autre zone de disponibilité en cas de besoin. Vous devez procéder de la sorte même pour les déploiements Single-AZ, au cas où vous souhaitiez les convertir en déploiements multi-AZ par la suite.
Comment créer une instance de base de données Amazon RDS dans VPC ?
Pour voir la procédure explicative de ce processus, consultez la section Création d'une instance DB dans un VPC du guide de l'utilisateur Amazon RDS.
Comment contrôler l'accès réseau à mon/mes instances de base de données ?
Consultez la section Groupes de sécurité du guide de l'utilisateur Amazon RDS afin d'en savoir plus sur les différentes façons de contrôler l'accès à vos instances de base de données.
Comment puis-je me connecter à une instance de base de données Amazon RDS dans VPC ?
Les instances de base de données déployées dans un VPC sont accessibles par les instances EC2 déployées dans le même VPC. Si ces instances EC2 sont déployées dans un sous-réseau public avec des adresses IP Elastic associées, vous pouvez accéder aux instances EC2 sur Internet. Les instances de base de données déployées dans un VPC sont accessibles depuis Internet ou depuis les instances EC2 en dehors du VPC via un VPN ou des hôtes bastion que vous pouvez lancer dans votre sous-réseau public, ou encore en utilisant l'option d'accès public d'Amazon RDS :
- Pour utiliser un hôte bastion, vous devez configurer un sous-réseau public avec une instance EC2 faisant office de bastion SSH. Ce sous-réseau public doit disposer d'une passerelle internet et de règles de routage permettant de diriger le trafic via l'hôte SSH. Celui-ci doit ensuite transmettre les demandes à l'adresse IP privée de votre instance de base de données Amazon RDS.
- Pour utiliser une connexion publique, il vous suffit de créer vos instances de base de données en activant l'option d'accès public. Lorsque l'option d'accès public est activée, vos instances DB se trouvant dans un VPC sont entièrement accessibles en dehors de votre VPC par défaut. Autrement dit, vous n'avez pas à configurer de VPN ou de bastion pour pouvoir accéder à vos instances.
Vous pouvez également configurer une passerelle VPC en extension de votre réseau d'entreprise vers votre VPC et autoriser l'accès à l'instance de base de données Amazon RDS dans ce VPC. Pour en savoir plus, consultez le guide de l'utilisateur Amazon VPC.
Nous vous recommandons vivement d'utiliser le nom DNS pour la connexion à votre instance de base de données, car l'adresse IP sous-jacente peut être modifiée (par exemple pendant un basculement).
Puis-je déplacer mes instances de base de données existantes se trouvant en dehors de VPC vers mon VPC ?
Si votre instance DB n'est pas dans un VPC, vous pouvez utiliser la Console de gestion AWS pour déplacer facilement votre instance DB vers un VPC. Pour en savoir plus, consultez le guide de l'utilisateur Amazon RDS. Vous pouvez également prendre un instantané de votre instance DB en dehors de VPC et le restaurer dans VPC en spécifiant le groupe de sous-réseaux DB que vous souhaitez utiliser. Vous pouvez également effectuer une opération « Restaurer à un instant précis ».
Puis-je déplacer mes instances de base de données existantes se trouvant dans VPC en dehors de VPC ?
La migration des instances de base de données depuis un VPC interne vers un VPC externe n'est pas prise en charge. Pour des raisons de sécurité, un instantané DB d'une instance DB dans VPC ne peut pas être restauré en dehors de VPC. Il en va de même pour la fonctionnalité « Restaurer à un instant précis ».
Quelles précautions dois-je prendre pour m'assurer que mes instances de base de données dans VPC sont accessibles par mon application ?
Vous êtes responsable de la modification des tables de routage et des ACL réseau dans votre VPC afin de vous assurer que votre instance de base de données peut être atteinte depuis vos instances clientes du VPC. Pour les déploiements Multi-AZ, après un basculement, il est possible que votre instance EC2 cliente et l'instance de base de données Amazon RDS se trouvent dans des zones de disponibilité différentes. Vous devez configurer vos ACL réseau afin de vous assurer que la communication entre zones de disponibilité est possible.
Puis-je modifier le groupe de sous-réseau de base de données de mon instance de base de données ?
Un groupe de sous-réseaux de base de données existant peut être mis à jour afin d'ajouter des sous-réseaux supplémentaires, soit pour les zones de disponibilité existantes, soit pour les zones de disponibilité ajoutées depuis la création de l'instance DB. En retirant des sous-réseaux d'un groupe de sous-réseaux DB existant, vous risquez de rendre indisponibles les instances s'exécutant dans une zone de disponibilité supprimée du groupe de sous-réseaux. Pour en savoir plus, consultez le guide de l'utilisateur Amazon RDS.
Qu'est-ce qu'un compte d'utilisateur principal Amazon RDS et en quoi est-il différent d'un compte AWS ?
Pour commencer à utiliser Amazon RDS, vous avez besoin d'un compte de développeur AWS. Si vous n'en aviez pas avant de vous inscrire à Amazon RDS, vous serez invité à en créer un au début de la procédure d'inscription. Un compte d'utilisateur principal est différent d'un compte de développeur AWS, et il n'est utilisé que dans le contexte d'Amazon RDS pour contrôler l'accès à votre/vos instances de base de données. Le compte d'utilisateur principal est un compte d'utilisateur de base de données native que vous pouvez utiliser pour vous connecter à votre instance de base de données.
Vous pouvez spécifier le nom de l'utilisateur principal et le mot de passe que vous voulez associer à chaque instance de base de données lorsque vous créez l'instance de base de données. Une fois que vous avez créé votre instance de base de données, vous pouvez vous connecter à la base de données en utilisant les informations d'identification de l'utilisateur principal. Par la suite, vous pourriez également vouloir créer des comptes utilisateur supplémentaires, afin de pouvoir limiter l'accès des personnes à votre instance de base de données.
Quels privilèges sont accordés à l'utilisateur principal pour mon instance de base de données ?
Pour MySQL, les privilèges par défaut de l'utilisateur principal incluent : créer, abandonner, références, évènement, modifier, supprimer, indexer, insérer, sélectionner, mettre à jour, créer des tables temporaires, verrouiller des tables, déclencher, créer un affichage, afficher une vue, modifier une routine, créer une routine, exécuter, créer un utilisateur, traiter, afficher des bases de données, accorder une option.
Pour Oracle, l'utilisateur principal reçoit le rôle « dba ». L'utilisateur principal hérite de la plupart des privilèges associés au rôle. Reportez-vous au manuel Amazon RDS User Guide afin de consulter la liste des privilèges restreints et les alternatives correspondantes pour effectuer les tâches administratives pouvant nécessiter de tels privilèges.
Avec SQL Server, un utilisateur qui crée une base de données reçoit le rôle « db_owner ». Veuillez consulter le Guide de l’utilisateur Amazon RDS pour obtenir la liste des privilèges restreints et les alternatives correspondantes pour effectuer les tâches administratives pouvant nécessiter de tels privilèges.
La gestion des utilisateurs diffère-t-elle avec Amazon RDS ?
Non, tout fonctionne comme vous en avez l'habitude avec une base de données relationnelle que vous gérez par vous-même.
Les programmes en cours d'exécution sur les serveurs dans mon propre centre de données peuvent-il accéder aux bases de données Amazon RDS ?
Oui. Vous devez explicitement activer l'accès à votre base de données via Internet en configurant des groupes de sécurité. Vous pouvez autoriser l'accès uniquement pour des adresses IP, des plages d'adresses IP ou des sous-réseaux spécifiques correspondant aux serveurs de votre propre centre de données.
Puis-je chiffrer les connexions entre mon application et mon instance de base de données à l'aide du protocole SSL/TLS ?
Oui, cette option est prise en charge par tous les moteurs RDS Amazon. Amazon RDS génère un certificat SSL/TLS pour chaque instance de base de données. Une fois qu'une connexion chiffrée est établie, les données transférées entre l'instance de base de données et votre application seront chiffrées pendant le transfert. Bien que SSL offre des avantages en termes de sécurité, il convient de souligner que le chiffrement SSL/TLS est une opération de calcul intensive, qui augmentera les temps de latence de la connexion de votre base de données. La prise en charge de SSL/TLS dans Amazon RDS est destinée au chiffrement de la connexion entre votre application et votre instance de base de données ; vous ne devez pas vous reposer sur elle pour authentifier l'instance de base de données.
Pour en savoir plus sur la mise en place d'une connexion chiffrée à Amazon RDS, consultez les manuels Amazon RDS ci-dessous : Guide de l'utilisateur MySQL, Guide de l'utilisateur MariaDB, Guide de l'utilisateur PostgreSQL ou Guide de l'utilisateur Oracle.
Puis-je chiffrer des données au repos dans mes bases de données Amazon RDS ?
Amazon RDS prend en charge le chiffrement au repos pour tous les moteurs de base de données, à l'aide des clés que vous gérez via AWS Key Management Service (KMS). Sur une instance de base de données s'exécutant avec le chiffrement Amazon RDS, les données au repos dans le stockage sous-jacent sont chiffrées, de même que les sauvegardes automatisées, les réplicas en lecture et les instantanés. Le chiffrement et le déchiffrement sont gérés de manière transparente. Pour plus d'informations concernant l'utilisation de KMS avec Amazon RDS, consultez le Guide de l’utilisateur Amazon RDS.
Il est également possible d'ajouter un chiffrement à une instance ou un cluster DB non chiffré en capturant un instantané de base de données, puis en créant une copie de cet instantané et en spécifiant une clé de chiffrement KMS. Vous pouvez ensuite restaurer une instance ou un cluster de base de données chiffré à partir de l'instantané chiffré.
Amazon RDS for Oracle et SQL Server prennent en charge les technologies de chiffrement transparent des données (TDE, Transparent Data Encryption) de ces moteurs. Pour plus d'informations, consultez les sections du guide de l'utilisateur Amazon RDS consacrées à Oracle et à SQL Server.
Puis-je intégrer AWS CloudHSM à ma base de données Amazon RDS for Oracle ?
Non, une instance Oracle sur Amazon RDS ne peut pas être intégrée à AWS CloudHSM. Pour utiliser le chiffrement transparent des données (TDE) avec AWS CloudHSM, la base de données Oracle doit être installée sur Amazon EC2.
Comment contrôler les opérations que mes systèmes et utilisateurs peuvent effectuer sur des ressources Amazon RDS spécifiques ?
Vous pouvez contrôler les actions que vos groupes et utilisateurs IAM AWS sont autorisés à effectuer sur les ressources Amazon RDS. Pour ce faire, vous devez référencer les ressources Amazon RDS en question dans les politiques AWS IAM appliquées à vos groupes et utilisateurs. Les ressources Amazon RDS pouvant être référencées dans une politique IAM d’AWS incluent les instances de bases de données, les instantanés de bases de données, les réplicas en lecture, les groupes de sécurité de bases de données, les groupes d'options de bases de données, les groupes de paramètres de bases de données, les abonnements à des événements et les groupes de sous-réseaux de bases de données.
En outre, vous pouvez associer des identifications à ces ressources pour ajouter des métadonnées supplémentaires à ces dernières. Les mots-clés vous permettent de classer vos ressources (par exemple : Instances DB de « développement », de « production », de « test »...) et de créer des politiques AWS IAM répertoriant des autorisations (actions pouvant être effectuées) pour toutes les ressources comportant les mêmes mots-clés. Pour plus d'informations, consultez Étiqueter des ressources Amazon RDS.
Je souhaite réaliser une analyse de sécurité ou un dépannage opérationnel de mon déploiement Amazon RDS. Puis-je obtenir un historique de tous les appels d'API Amazon RDS effectués depuis mon compte ?
Oui. AWS CloudTrail est un service Web qui enregistre les appels d'API AWS pour votre compte et vous les présente sous forme de fichiers de journal. L'historique des appels d'API AWS généré par CloudTrail permet de réaliser une analyse de sécurité, le suivi des modifications au niveau des ressources, ainsi que l'audit de conformité.
Puis-je utiliser Amazon RDS avec des applications nécessitant la conformité HIPAA ?
Oui, tous les moteurs de base de données Amazon RDS sont éligibles HIPAA. Vous pouvez donc les utiliser pour créer des applications compatibles HIPAA et stocker des données de santé, notamment les informations médicales protégées (PHI), dans le cadre d'un accord d'association commerciale (BAA) signé avec AWS.
Si vous avez déjà un BAA exécuté, aucune action n'est nécessaire pour commencer à utiliser ces services dans le ou les comptes couverts par votre BAA. Si vous n'avez pas de BAA exécutée avec AWS ou si vous avez d'autres questions concernant les applications compatibles HIPAA sur AWS, veuillez contacter
votre gestionnaire de compte.
