أمان Amazon RDS

تقوم Amazon RDS بتشفير قواعد البيانات الخاصة بك باستخدام المفاتيح التي تديرها من خلال خدمة إدارة مفاتيح AWS (KMS). في مثيل قاعدة بيانات يعمل باستخدام تشفير Amazon RDS، يتم تشفير البيانات المخزنة في أثناء عدم النشاط في التخزين الأساسي كما يتم تخزين النسخ الاحتياطية التلقائية واستنساخات القراءة واللقطات. تشفير Amazon RDS يستخدم خوارزمية التشفير AES-256 القياسية في الصناعة لتشفير بياناتك على الخادم الذي يستضيف مثيل Amazon RDS الخاص بك.

تدعم Amazon RDS أيضًا تشفير البيانات الشفاف (TDE) لـ SQL Server (إصدار SQL Server Enterprise والإصدار القياسي) وOracle (خيار الأمان المتقدم من Oracle في إصدار Oracle Enterprise). باستخدام TDE، يقوم خادم قاعدة البيانات تلقائيًا بتشفير البيانات قبل كتابتها للتخزين وفك تشفير البيانات تلقائيًا عند قراءتها من التخزين.

تقدم Amazon RDS إرشادات لأفضل الممارسات عن طريق تحليل التكوين ومقاييس الاستخدام من مثيلات قاعدة بياناتك. تغطي التوصيات مجالات مثل الأمان والتشفير وIAM وVPC. يمكنك تصفح التوصيات المتاحة واتخاذ الإجراء الموصى به فورًا أو تحديد موعد دورة صيانتها التالية أو رفضها بالكامل.

قم بتشفير الاتصالات بين تطبيقك ومثيل DB الخاص بك باستخدام SSL/TLS. تقوم Amazon RDS بإنشاء شهادة SSL وتثبيت الشهادة على مثيل DB عند توفير المثيل. بالنسبة إلى MySQL، يمكنك تشغيل عميل mysql باستخدام المعلمة ssl_ca-- للإشارة إلى المفتاح العام من أجل تشفير الاتصالات. بالنسبة لـ SQL Server، قم بتنزيل المفتاح العام واستيراد الشهادة إلى نظام تشغيل Windows. تستخدم RDS for Oracle تشفير شبكة Oracle الأصلي مع مثيل DB. يمكنك ببساطة إضافة خيار تشفير الشبكة الأصلي إلى مجموعة خيارات وربط مجموعة الخيارات هذه بمثيل DB. بمجرد إنشاء اتصال مشفر، سيتم تشفير البيانات المنقولة بين مثيل DB وتطبيقك المتنقِّل. يمكنك أيضًا أن تطلب من مثيل DB قبول الاتصالات المشفرة فقط.

تتكامل Amazon RDS مع إدارة الهوية والوصول في AWS‏ (IAM) ويوفر لك القدرة على التحكم في الإجراءات التي يمكن لمستخدمي AWS IAM والمجموعات اتخاذها على موارد محددة (على سبيل المثال، مثيلات DB ونُسخ DB ومجموعات معايير DB واشتراكات أحداث DB ومجموعات خيارات DB). بالإضافة إلى ذلك، يمكنك وضع علامة على مواردك والتحكم في الإجراءات التي يمكن لمستخدمي IAM والمجموعات اتخاذها على مجموعات الموارد التي لها نفس العلامة (وقيمة العلامة). لمزيد من المعلومات حول تكامل IAM، راجع وثائق مصادقة قاعدة بيانات IAM.

يمكنك أيضًا وضع علامة على موارد Amazon RDS والتحكم في الإجراءات التي يستطيع مستخدمو ومجموعات IAM اتخاذها مع مجموعات الموارد التي لها نفس العلامة والقيمة المرتبطة. يمكنك مثلاً تكوين قواعدك على IAM لضمان أن يتمكن المطورون من تعديل مثيلات قاعدة بيانات «التطوير»، لكنَّ مسؤولي قواعد البيانات فقط يستطيعون إجراء تغييرات في مثيلات قاعدة بيانات «الإنتاج».

عند إنشاء مثيل DB لأول مرة داخل Amazon RDS، ستقوم بإنشاء حساب مستخدم أساسي، والذي يتم استخدامه فقط في سياق Amazon RDS للتحكم في الوصول إلى مثيل (مثيلات) DB. حساب المستخدم الأساسي هو حساب مستخدم قاعدة بيانات أصلي يسمح لك بتسجيل الدخول إلى مثيل DB مع جميع امتيازات قاعدة البيانات. يمكنك تحديد اسم المستخدم الأساسي وكلمة المرور اللذين تريد ربطهما بكل مثيل DB عند إنشاء مثيل DB. بمجرد إنشاء مثيل DB الخاص بك، يمكنك الاتصال بقاعدة البيانات باستخدام بيانات اعتماد المستخدم الأساسية. بعد ذلك، يمكنك إنشاء حسابات مستخدمين إضافية بحيث يمكنك تقييد من يمكنه الوصول إلى مثيل DB الخاص بك.

باستخدام السحابة الخاصة الافتراضية بـ Amazon‏ (VPC)، يمكنك عزل مثيلات قاعدة بياناتك في شبكتك الافتراضية الخاصة والاتصال بالبنية التحتية الحالية لتكنولوجيا المعلومات باستخدام IPSec VPN مشفرة متوائمة مع معايير الصناعة.

تتيح لك Amazon VPC عزل مثيلات DB عن طريق تحديد نطاق IP الذي ترغب في استخدامه والاتصال بالبنية التحتية لتكنولوجيا المعلومات الحالية من خلال IPsec VPN المشفر وفقًا لمعايير الصناعة. تشغيل Amazon RDS في سحابة VPC يتيح لك الحصول على مثيل DB داخل شبكة فرعية خاصة. يمكنك أيضًا إعداد بوابة خاصة افتراضية تعمل على توسيع شبكة شركتك إلى سحابة VPC، وتسمح بالوصول إلى مثيل Amazon RDS DB في سحابة VPC هذه. راجع دليل مستخدم Amazon VPC لمزيد من التفاصيل. يمكن الوصول إلى مثيلات DB المنشورة داخل Amazon VPC من الإنترنت أو من مثيلات Amazon EC2 خارج VPC عبر VPN أو مضيفات الحصن (bastion hosts) التي يمكنك تشغيلها في الشبكة الفرعية العامة الخاصة بك. لاستخدام مضيف bastion host، ستحتاج إلى إعداد شبكة فرعية عامة بمثيل EC2 يعمل بمثابة SSH Bastion. يجب أن تحتوي هذه الشبكة الفرعية العامة على بوابة إنترنت وقواعد توجيه تسمح بتوجيه حركة المرور عبر مضيف SSH، والذي يجب عليه بعد ذلك إعادة توجيه الطلبات إلى عنوان IP الخاص لمثيل Amazon RDS DB الخاص بك. يمكن استخدام مجموعات أمان DB للمساعدة في تأمين مثيلات DB داخل Amazon VPC. بالإضافة إلى ذلك، يمكن السماح بحركة مرور الشبكة التي تدخل وتخرج من كل شبكة فرعية أو رفضها عبر قوائم ACL للشبكة. يمكن فحص جميع حركات مرور الشبكة التي تدخل أو تخرج من Amazon VPC عبر اتصال IPsec VPN من خلال البنية التحتية الأمنية المحلية، بما في ذلك جدران حماية الشبكة وأنظمة كشف التسلل.

بالإضافة إلى التهديدات الأمنية الخارجية، تحتاج قواعد البيانات المُدارة إلى توفير الحماية ضد المخاطر الداخلية من مسؤولي قواعد البيانات (DBAs). تدفقات نشاط قاعدة البيانات، المدعومة حاليًا لـ Amazon Aurora وAmazon RDS for Oracle، توفر تدفق بيانات في الوقت الفعلي لنشاط قاعدة البيانات في قاعدة البيانات الارتباطية الخاصة بك. عند التكامل مع أدوات مراقبة نشاط قاعدة البيانات التابعة لجهات خارجية، يمكنك مراقبة نشاط قاعدة البيانات وتدقيقه لتوفير ضمانات لقاعدة البيانات الخاصة بك وتلبية متطلبات الامتثال والمتطلبات التنظيمية.

تحمي تدفقات نشاط قاعدة البيانات قاعدة البيانات الخاصة بك من التهديدات الداخلية من خلال تنفيذ نموذج حماية يتحكم في وصول DBA إلى تدفق نشاط قاعدة البيانات. وبالتالي، فإن جمع تدفق نشاط قاعدة البيانات ونقله وتخزينه ومعالجته اللاحقة يتجاوز وصول مسؤولي قواعد البيانات (DBAs) الذين يديرون قاعدة البيانات.

يتم دفع البث إلى دفق بيانات Amazon Kinesis الذي تم إنشاؤه نيابة عن قاعدة البيانات الخاصة بك. من Kinesis Data Firehose، يمكن بعد ذلك استهلاك تدفق نشاط قاعدة البيانات بواسطة Amazon CloudWatch أو من خلال التطبيقات الشريكة لإدارة الامتثال، مثل IBM Security Guardium. يمكن لتطبيقات الشركاء هذه استخدام معلومات تدفق نشاط قاعدة البيانات لإنشاء تنبيهات وتوفير تدقيق لجميع الأنشطة على قاعدة بيانات Amazon Aurora الخاصة بك.

يمكنك معرفة المزيد حول استخدام تدفقات نشاط قاعدة البيانات لإصدارات Aurora المتوافقة مع PostgreSQL وMySQL في صفحة الوثائق ولـ Amazon RDS for Oracle في صفحة الوثائق.

تلتزم Amazon RDS بتوفير إطار عمل قوي للامتثال للعملاء وأدوات متطورة وتدابير أمنية يمكن للعملاء استخدامها لتقييم الامتثال للشروط القانونية والتنظيمية المعمول بها والوفاء بها وإظهارها. يجب على العملاء مراجعة نموذج المسؤولية المشتركة من AWS وتحديد مسؤوليات Amazon RDS ومسؤوليات العملاء. يمكن للعملاء أيضًا استخدام AWS Artifact للوصول إلى تقارير تدقيق RDS وإجراء تقييمهم لمسؤوليات التحكم.

لمزيد من المعلومات، يرجى زيارة صفحة الامتثال من AWS.

ما هي ‏سحابة Amazon الخاصة الافتراضية (VPC) وكيف تعمل مع Amazon RDS؟
يتيح لك Amazon VPC إنشاء بيئة شبكات افتراضية في قسم خاص ومعزول من سحابة AWS حيث يمكنك التحكم بشكل كامل في الجوانب، مثل نطاقات عناوين IP الخاصة والشبكات الفرعية وجداول التوجيه وبوابات الشبكة. باستخدام Amazon VPC، يمكنك تحديد هيكل الشبكة الافتراضية وتخصيص تكوين الشبكة لتشبه إلى حد كبير شبكة IP التقليدية التي قد تعمل في مركز البيانات الخاص بك.

إحدى الطرق التي يمكنك من خلالها الاستفادة من VPC هي عندما تريد تشغيل تطبيق ويب عام مع الحفاظ على خوادم خلفية غير متاحة للجمهور في شبكة فرعية خاصة. يمكنك إنشاء شبكة فرعية عامة لخوادم الويب الخاصة بك التي يمكنها الوصول إلى الإنترنت، ووضع مثيلات Amazon RDS DB الخلفية في شبكة فرعية خاصة بدون اتصال بالإنترنت. لمزيد من المعلومات حول Amazon VPC، راجع دليل مستخدم السحابة الخاصة الافتراضية بـ Amazon.

كيف يختلف استخدام Amazon RDS داخل VPC عن استخدامه على نظام EC2-Classic (مختلف عن سحابة VPC)؟
إذا تم إنشاء حساب AWS الخاص بك قبل 4-12-2013، فقد تتمكن من تشغيل Amazon RDS في بيئة Amazon Elastic Compute Cloud (EC2)-Classic. الوظيفة الأساسية لـ Amazon RDS هي نفسها بغض النظر عما إذا كان يتم استخدام EC2-Classic أو EC2-VPC. تدير Amazon RDS النسخ الاحتياطية وتصحيح البرامج والكشف التلقائي عن الأعطال وقراءة النسخ المتماثلة والاسترداد سواء تم نشر مثيلات DB الخاصة بك داخل VPC أو خارجها. لمزيد من المعلومات حول الاختلافات بين EC2-Classic وEC2-VPC، راجع وثائق EC2.

ما هي مجموعة DB Subnet Group ولماذا أحتاج إليها؟
مجموعة DB Subnet Group هي مجموعة من الشبكات الفرعية التي قد ترغب في تعيينها لمثيلات Amazon RDS DB الخاصة بك في VPC. يجب أن تحتوي كل مجموعة شبكة فرعية DB على شبكة فرعية واحدة على الأقل لكل منطقة توفر خدمات في منطقة معينة. عند إنشاء مثيل DB في VPC، ستحتاج إلى تحديد مجموعة DB Subnet Group. بعد ذلك Amazon RDS تستخدم مجموعة DB Subnet Group ومنطقة التوفر المفضلة لديك لتحديد شبكة فرعية وعنوان IP داخل تلك الشبكة الفرعية. تقوم Amazon RDS بإنشاء وربط واجهة شبكة مرنة بمثيل DB الخاص بك باستخدام عنوان IP هذا.

يرجى ملاحظة أننا نوصي بشدة باستخدام اسم DNS للاتصال بمثيل DB الخاص بك حيث يمكن تغيير عنوان IP الأساسي (على سبيل المثال، أثناء تجاوز الفشل).

بالنسبة لعمليات نشر مناطق توافر خدمات متعددة (Multi-AZ)، فإن تحديد شبكة فرعية لجميع مناطق توافر الخدمات في المنطقة سيسمح لـ Amazon RDS بإنشاء وضع استعداد جديد في منطقة توافر خدمات أخرى إذا دعت الحاجة إلى ذلك. تحتاج إلى القيام بذلك حتى بالنسبة لعمليات النشر التي تتم في منطقة توافر واحدة (Single-AZ)، فقط في حالة رغبتك في تحويلها إلى عمليات نشر متعددة AZ في مرحلة ما.

كيف أقوم بإنشاء مثيل Amazon RDS DB في VPC؟
للحصول على إجراء يرشدك خلال هذه العملية، راجع إنشاء مثيل DB في VPC في دليل مستخدم Amazon RDS.

كيف يمكنني التحكم في وصول الشبكة إلى مثيل (مثيلات) DB؟
قم بزيارة قسم مجموعات الأمان في دليل مستخدم Amazon RDS للتعرف على الطرق المختلفة للتحكم في الوصول إلى مثيلات DB الخاصة بك.

كيف يمكنني الاتصال بمثيل Amazon RDS DB في VPC؟
يمكن الوصول إلى مثيلات DB التي تم نشرها داخل VPC بواسطة مثيلات EC2 المنتشرة في نفس VPC. إذا تم نشر مثيلات EC2 هذه في شبكة فرعية عامة مع عناوين IP المرنة المرتبطة، فيمكنك الوصول إلى مثيلات EC2 عبر الإنترنت. يمكن الوصول إلى مثيلات DB المنشورة داخل VPC من الإنترنت أو من مثيلات EC2 خارج VPC عبر VPN أو bastion hosts التي يمكنك تشغيلها في شبكتك الفرعية العامة أو باستخدام خيار Amazon RDS الذي يمكن الوصول إليه بشكل عام:

• لاستخدام مضيف bastion host، ستحتاج إلى إعداد شبكة فرعية عامة بمثيل EC2 يعمل بمثابة SSH Bastion. يجب أن تحتوي هذه الشبكة الفرعية العامة على بوابة إنترنت وقواعد توجيه تسمح بتوجيه حركة المرور عبر مضيف SSH، والذي يجب عليه بعد ذلك إعادة توجيه الطلبات إلى عنوان IP الخاص لمثيل Amazon RDS DB الخاص بك.
• لاستخدام الاتصال العام، ما عليك سوى إنشاء مثيلات DB الخاصة بك مع تعيين خيار الوصول العام إلى «نعم». مع تنشيط الوصول العام، ستكون مثيلات DB الخاصة بك داخل VPC قابلة للوصول بالكامل خارج VPC بشكل افتراضي. هذا يعني أنك لست بحاجة إلى تكوين VPN أو مضيف bastion host للسماح بالوصول إلى المثيلات الخاصة بك. 

يمكنك أيضًا إعداد بوابة VPN التي تعمل على توسيع شبكة شركتك إلى سحابة VPC الخاصة بك وتسمح بالوصول إلى مثيل Amazon RDS DB في سحابة VPC هذه. راجع دليل مستخدم Amazon VPC لمزيد من التفاصيل.

نوصي بشدة باستخدام اسم DNS للاتصال بمثيل DB الخاص بك حيث يمكن تغيير عنوان IP الأساسي (على سبيل المثال، أثناء تجاوز الفشل).

هل يمكنني نقل مثيلات DB الحالية خارج VPC إلى سحابة VPC الخاصة بي؟
إذا لم يكن مثيل DB الخاص بك موجودًا في VPC، فيمكنك استخدام وحدة تحكم إدارة AWS لنقل مثيل DB الخاص بك بسهولة إلى VPC. راجع دليل مستخدم Amazon RDS لمزيد من التفاصيل. يمكنك أيضًا عمل نسخة احتياطية من مثيل DB الخاص بك خارج VPC واستعادته إلى VPC عن طريق تحديد مجموعة DB Subnet Group التي تريد استخدامها. بدلاً من ذلك، يمكنك تنفيذ عملية «الاستعادة إلى النقطة الزمنية» أيضًا.

هل يمكنني نقل مثيلات DB الحالية من داخل VPC إلى خارج VPC؟
لا يتم دعم ترحيل مثيلات DB من داخل VPC إلى خارجها. لأسباب تتعلق بالأمان، لا يمكن استعادة DB Snapshot من مثيل DB داخل VPC إلى VPC خارجي. وينطبق الشيء نفسه مع وظيفة «الاستعادة إلى النقطة الزمنية». 

ما الاحتياطات التي يجب اتخاذها لضمان إمكانية الوصول إلى مثيلات DB الخاصة بي في VPC من خلال تطبيقي؟
أنت مسؤول عن تعديل جداول التوجيه وقوائم ACL الخاصة بالشبكات في سحابة VPC الخاصة بك لضمان إمكانية الوصول إلى مثيل DB من مثيلات العميل في VPC. بالنسبة لعمليات نشر مناطق توافر خدمات متعددة (Multi-AZ)، بعد تجاوز الفشل، قد يكون مثيل EC2 الخاص بالعميل ومثيل Amazon RDS DB في مناطق توافر خدمات مختلفة. يجب تكوين قوائم ACL الخاصة بالشبكات لضمان إمكانية الاتصال عبر مناطق التوافر.

هل يمكنني تغيير مجموعة DB Subnet Group لمثيل DB الخاص بي؟
يمكن تحديث مجموعة DB Subnet Group الحالية لإضافة المزيد من الشبكات الفرعية، إما لمناطق التوافر الحالية أو لمناطق التوافر الجديدة المضافة منذ إنشاء مثيل DB. يمكن أن تتسبب إزالة الشبكات الفرعية من مجموعة DB Subnet Group الموجودة في عدم توفر المثيلات إذا كانت تعمل في منطقة توافر معينة تتم إزالتها من مجموعة الشبكة الفرعية. راجع دليل مستخدم Amazon RDS لمزيد من المعلومات.

ما هو حساب المستخدم الأساسي لـ Amazon RDS وكيف يختلف عن حساب AWS؟
لبدء استخدام Amazon RDS، ستحتاج إلى حساب مطور AWS. إذا لم يكن لديك حساب قبل الاشتراك في Amazon RDS، فستتم مطالبتك بإنشاء حساب عند بدء عملية التسجيل. يختلف حساب المستخدم الأساسي عن حساب مطور AWS ويُستخدم فقط في سياق Amazon RDS للتحكم في الوصول إلى مثيل (مثيلات) DB الخاص بك. حساب المستخدم الأساسي هو حساب مستخدم قاعدة بيانات أصلي يمكنك استخدامه للاتصال بمثيل DB الخاص بك. 

يمكنك تحديد اسم المستخدم الأساسي وكلمة المرور اللذين تريد ربطهما بكل مثيل DB عند إنشاء مثيل DB. بمجرد إنشاء مثيل DB الخاص بك، يمكنك الاتصال بقاعدة البيانات باستخدام بيانات اعتماد المستخدم الأساسية. بعد ذلك، قد ترغب أيضًا في إنشاء حسابات مستخدمين إضافية حتى تتمكن من تقييد من يمكنه الوصول إلى مثيل DB الخاص بك.

ما الامتيازات الممنوحة للمستخدم الأساسي لمثيل DB الخاص بي؟
بالنسبة إلى MySQL، تتضمن الامتيازات الافتراضية للمستخدم الأساسي: الإنشاء، والإسقاط، والمراجع، والحدث، والتعديل، والحذف، والفهرسة، والإدراج، والتحديد، والتحديث، وإنشاء جداول مؤقتة، وقفل الجداول، والتشغيل، وإنشاء عرض، وعرض العرض، وتغيير الروتين، وإنشاء روتين، والتنفيذ، والتشغيل، وإنشاء مستخدم، وإجراء عملية، وإظهار قواعد البيانات، وخيار المنح.

بالنسبة إلى Oracle، يتم منح المستخدم الأساسي دور «dba». يرث المستخدم الأساسي معظم الامتيازات المرتبطة بالدور. يرجى الرجوع إلى دليل مستخدم Amazon RDS للحصول على قائمة الامتيازات المقيدة والبدائل المقابلة لأداء المهام الإدارية التي قد تتطلب هذه الامتيازات.

بالنسبة لـ SQL Server، يتم منح المستخدم الذي يقوم بإنشاء قاعدة بيانات دور «db_owner». يرجى الرجوع إلى دليل مستخدم Amazon RDS للحصول على قائمة الامتيازات المقيدة والبدائل المقابلة لأداء المهام الإدارية التي قد تتطلب هذه الامتيازات.

هل هناك أي شيء مختلف حول إدارة المستخدم مع Amazon RDS؟
لا، كل شيء يعمل بالطريقة التي تعرفها عند استخدام قاعدة بيانات علائقية تديرها بنفسك.

هل يمكن للبرامج التي تعمل على الخوادم في مركز البيانات الخاص بي الوصول إلى قواعد بيانات Amazon RDS؟
نعم. يجب عليك تشغيل القدرة على الوصول إلى قاعدة البيانات الخاصة بك عن قصد عبر الإنترنت من خلال تكوين مجموعات الأمان. يمكنك السماح بالوصول إلى عناوين IP المحددة أو نطاقات IP أو الشبكات الفرعية المقابلة للخوادم في مركز البيانات الخاص بك فقط.

هل يمكنني تشفير الاتصالات بين تطبيقي ومثيل DB الخاص بي باستخدام SSL/TLS؟
نعم، هذا الخيار مدعوم لجميع محركات Amazon RDS. تقوم Amazon RDS بإنشاء شهادة SSL/TLS لكل مثيل DB. بمجرد إنشاء اتصال مشفر، سيتم تشفير البيانات المنقولة بين مثيل DB وتطبيقك المتنقِّل. بينما توفر SSL مزايا الأمان، يجب أن تدرك أن تشفير SSL/TLS هو عملية تتطلب الكثير من الحوسبة وستزيد من زمن انتقال اتصال قاعدة البيانات الخاصة بك. دعم SSL/TLS داخل Amazon RDS مخصص لتشفير الاتصال بين التطبيق الخاص بك ومثيل DB الخاص بك؛ لا ينبغي الاعتماد عليه لمصادقة مثيل DB نفسه.

للحصول على تفاصيل حول إنشاء اتصال مشفر مع Amazon RDS، يرجى زيارة دليل مستخدم Amazon RDS MySQL أو دليل مستخدم MariaDB أو دليل مستخدم PostgreSQL أو دليل مستخدم Oracle.

هل يمكنني تشفير البيانات غير النشطة على قواعد بيانات Amazon RDS الخاصة بي؟
تدعم Amazon RDS تشفير البيانات غير النشطة لجميع محركات قواعد البيانات، وذلك باستخدام المفاتيح التي تديرها باستخدام خدمة خدمة إدارة المفاتيح من AWS‏ (KMS). في مثيل قاعدة بيانات يعمل باستخدام تشفير Amazon RDS، يتم تشفير البيانات المخزنة في أثناء عدم النشاط في التخزين الأساسي كما يتم تخزين النسخ الاحتياطية التلقائية واستنساخات القراءة واللقطات. يتم التعامل مع التشفير وفك التشفير بشفافية. لمزيد من المعلومات حول استخدام KMS مع Amazon RDS، راجع دليل مستخدم Amazon RDS.

يمكنك أيضًا إضافة تشفير إلى مثيل DB غير مشفر مسبقًا أو مجموعة DB عن طريق إنشاء لقطة DB ثم إنشاء نسخة من تلك اللقطة وتحديد مفتاح تشفير KMS. يمكنك بعد ذلك استعادة مثيل DB مشفر أو مجموعة DB من اللقطة المشفرة.

تدعم خدمة Amazon RDS for Oracle وSQL Server تقنيات تشفير البيانات الشفافة (TDE) لهذه المحركات. لمزيد من المعلومات، راجع دليل مستخدم Amazon RDS لـOracle وSQL Server.

س: هل يمكنني التكامل مع قاعدة بيانات Amazon RDS for Oracle باستخدام AWS CloudHSM؟
لا، لا يمكن دمج مثيل Oracle على Amazon RDS باستخدام AWS CloudHSM. لاستخدام تشفير البيانات الشفاف (TDE) باستخدام AWS CloudHSM، يجب تثبيت قاعدة بيانات Oracle على Amazon EC2.

كيف يمكنني التحكم في الإجراءات التي يمكن لأنظمتي والمستخدمين اتخاذها على موارد Amazon RDS المحددة؟
يمكنك التحكم في الإجراءات التي يمكن لمستخدمي ومجموعات AWS IAM اتخاذها على موارد Amazon RDS. يمكنك القيام بذلك من خلال الرجوع إلى موارد Amazon RDS في سياسات AWS IAM التي تطبقها على المستخدمين والمجموعات. تتضمن موارد Amazon RDS التي يمكن الرجوع إليها في سياسة AWS IAM مثيلات قاعدة البيانات ولقطات قاعدة البيانات وقراءة النسخ المتماثلة ومجموعات أمان قاعدة البيانات ومجموعات خيارات قاعدة البيانات ومجموعات معايير قاعدة البيانات واشتراكات الأحداث ومجموعات الشبكة الفرعية لقاعدة البيانات. 

بالإضافة إلى ذلك، يمكنك وضع علامة على هذه الموارد لإضافة بيانات تعريف إضافية إلى الموارد الخاصة بك. باستخدام العلامات (tagging)، يمكنك تصنيف مواردك (على سبيل المثال. مثيلات Development» DB» ومثيلات Production» DB» ومثيلات Test» DB») وكتابة سياسات AWS IAM التي تسرد الأذونات (أي الإجراءات) التي يمكن اتخاذها على الموارد التي تحمل نفس العلامات. لمزيد من المعلومات، راجع وضع علامات على موارد Amazon RDS.

أرغب في إجراء تحليل الأمان أو استكشاف الأخطاء وإصلاحها التشغيلية على نشر Amazon RDS الخاص بي. هل يمكنني الحصول على سجل لجميع استدعاءات Amazon RDS API التي أجريت على حسابي؟
نعم. AWS CloudTrail عبارة عن خدمة شبكة تسجل عمليات استدعاء واجهة برمجة تطبيقات (API) AWS لحسابك وتوفر ملفات السجلات لك. يتيح سجل استدعاءات AWS API الذي تنتجه CloudTrail تحليل الأمان وتتبع تغيير الموارد ومراجعة الامتثال. 

هل يمكنني استخدام Amazon RDS مع التطبيقات التي تتطلب التوافق مع HIPAA؟
نعم، جميع محركات قواعد بيانات Amazon RDS مؤهلة لقانون HIPAA، لذا يمكنك استخدامها لإنشاء تطبيقات متوافقة مع HIPAA وتخزين المعلومات المتعلقة بالرعاية الصحية، بما في ذلك المعلومات الصحية المحمية (PHI) بموجب اتفاقية شركاء الأعمال (BAA) المنفذة مع AWS.

إذا كان لديك بالفعل اتفاقية BAA تم تنفيذها، فلا يلزم اتخاذ أي إجراء لبدء استخدام هذه الخدمات في الحساب (الحسابات) الذي تغطيه اتفاقية BAA. إذا لم يكن لديك اتفاقية BAA تم تنفيذها مع AWS، أو كانت لديك أي أسئلة أخرى حول التطبيقات المتوافقة مع HIPAA على AWS، فيرجى الاتصال
بمدير حسابك.