Amazon RDS – Sicherheit
Amazon RDS ist ein verwalteter relationaler Datenbankservice, der die Wahl zwischen sieben beliebten Datenbank-Engines bietet, darunter die Amazon Aurora PostgreSQL-Compatible Edition, Amazon Aurora MySQL-Compatible Edition, RDS for PostgreSQL, RDS for MySQL, RDS for MariaDB, RDS for SQL Server, RDS for Oracle, and RDS for Db2.
Amazon RDS und Amazon Aurora bieten eine Reihe von Funktionen, um sicherzustellen, dass Ihre Daten sicher gespeichert und abgerufen werden. Führen Sie Ihre Datenbank in Amazon Virtual Private Cloud (VPC) aus, um sie auf Netzwerkebene zu isolieren. Verwenden Sie Sicherheitsgruppen, um zu kontrollieren, welche IP-Adressen oder Amazon EC2-Instances eine Verbindung zu Ihren Datenbanken herstellen können. Diese integrierte Firewall verhindert jeglichen Datenbankzugriff, außer durch Regeln, die Sie angeben.
Verwenden Sie die Richtlinien von AWS Identity and Access Management (IAM), um Berechtigungen zuzuweisen, die bestimmen, wer Amazon RDS-Ressourcen verwalten darf. Verwenden Sie die Sicherheitsfunktionen Ihrer Datenbank-Engine, um zu kontrollieren, wer sich bei den Datenbanken anmelden kann, genau wie Sie es tun, wenn sich die Datenbank in Ihrem lokalen Netzwerk befindet. Es ist auch möglich, Datenbank-Benutzer IAM-Rollen für Verbund-Zugriff zuzuweisen.
Verwenden Sie Secure Socket Layer/Transport Layer Security (SSL/TLS) -Verbindungen, um Daten während der Übertragung zu verschlüsseln. Verschlüsseln Sie Ihren Datenbankspeicher und Ihre Backups im Ruhezustand mit Amazon Key Management Service (KMS). Überwachen Sie Datenbankaktivitäten und integrieren Sie mithilfe von Database Activity Streams die Datenbanksicherheitsanwendungen von Partnern.
Verschlüsselung für Daten im Ruhezustand
Amazon RDS verschlüsselt Ihre Datenbanken mithilfe von Schlüsseln, die Sie mit dem AWS Key Management Service (KMS) verwalten. Bei einer mit Amazon RDS-Verschlüsselung ausgeführten DB-Instance sind die im zugrunde liegenden Speicher gespeicherten Daten verschlüsselt, was auch für deren automatisierte Backups, Lesereplikate und Snapshots gilt. Die Amazon RDS-Verschlüsselung verwendet den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um Ihre Daten auf dem Server zu verschlüsseln, der Ihre Amazon RDS-Instance hostet.
Amazon RDS unterstützt auch Transparente Datenverschlüsselung (TDE) für SQL Server (SQL Server Enterprise Edition und Standard Edition) und Oracle (Oracle Advanced Security-Option in Oracle Enterprise Edition). Mit TDE verschlüsselt der Datenbankserver Daten automatisch, bevor sie in den Speicher geschrieben werden, und entschlüsselt Daten automatisch, wenn sie aus dem Speicher gelesen werden.
Amazon RDS bietet Anleitungen für bewährte Methoden, indem Konfigurations- und Nutzungskennzahlen von Ihren Datenbank-Instances analysiert werden. Die Empfehlungen decken Bereiche wie Sicherheit, Verschlüsselung, IAM und VPC ab. Sie können die verfügbaren Empfehlungen durchsuchen und sofort eine empfohlene Aktion durchführen, sie für ihr nächstes Wartungsfenster einplanen oder einfach ablehnen.
Verschlüsselung von Daten während der Übertragung
Verschlüsseln Sie die Kommunikation zwischen Ihrer Anwendung und Ihrer DB-Instance mithilfe von SSL/TLS. Amazon RDS erstellt ein SSL-Zertifikat und installiert das Zertifikat auf der DB-Instance, wenn die Instance bereitgestellt wird. Für MySQL starten Sie den mysql-Client mit dem Parameter --ssl_ca, um auf den öffentlichen Schlüssel zu verweisen, um Verbindungen zu verschlüsseln. Laden Sie für SQL Server den öffentlichen Schlüssel herunter und importieren Sie das Zertifikat in Ihr Windows-Betriebssystem. RDS for Oracle verwendet die native Netzwerkverschlüsselung von Oracle mit einer DB-Instance. Sie fügen einfach die native Netzwerkverschlüsselungsoption zu einer Optionsgruppe hinzu und ordnen diese Optionsgruppe der DB-Instance zu. Nach dem Herstellen einer verschlüsselten Verbindung werden Daten zwischen der DB-Instance und Ihrer Anwendung verschlüsselt übertragen. Sie können auch verlangen, dass Ihre DB-Instance nur verschlüsselte Verbindungen akzeptiert.
Zugriffskontrolle
Amazon RDS ist in AWS Identity and Access Management (IAM) integriert und bietet Ihnen die Möglichkeit, die Aktionen zu steuern, die Ihre AWS IAM-Benutzer und -Gruppen für bestimmte Ressourcen ausführen können (z. B. DB-Instances, DB-Snapshots, DB-Parametergruppen, DB-Ereignisabonnements und DB-Optionsgruppen). Darüber hinaus können Sie Ihre Ressourcen mit Tags versehen und die Aktionen steuern, die Ihre IAM-Benutzer und -Gruppen für Ressourcengruppen ausführen können, die dasselbe Tag (und denselben Tag-Wert) haben. Weitere Informationen zur IAM-Integration finden Sie in der Dokumentation zur IAM-Datenbank-Authentifizierung.
Außerdem können Ihre Amazon-RDS-Ressourcen mit Tags versehen und die Aktionen steuern, die Ihre IAM-Benutzer und -Gruppen für Ressourcengruppen ausführen können, die dasselbe Tag und denselben zugehörigen Wert haben. Beispielsweise können Sie Ihre IAM-Regeln so konfigurieren, dass sichergestellt ist, dass Entwickler Datenbank-Instances für die Entwicklung ändern können, dass das Ändern und Löschen von Datenbank-Instances für die Produktion hingegen Datenbankadministratoren vorbehalten ist.
Wenn Sie zum ersten Mal eine DB-Instance in Amazon RDS erstellen, erstellen Sie ein primäres Benutzerkonto, das nur im Kontext von Amazon RDS zur Steuerung des Zugriffs auf Ihre DB-Instance (s) verwendet wird. Das primäre Benutzerkonto ist ein systemeigenes Datenbankbenutzerkonto, mit dem Sie sich mit allen Datenbankberechtigungen bei Ihrer DB-Instance anmelden können. Bei Erstellung der einzelnen DB-Instances können Sie festlegen, welcher Haupt-Benutzername und welches Kennwort diesen zugewiesen werden sollen. Nach Erstellung Ihrer DB-Instance können Sie mithilfe der Haupt-Benutzerdaten auf die Datenbank zugreifen. Anschließend können Sie weitere Benutzerkonten erstellen, um den Zugriff auf Ihre DB-Instance einzuschränken.
Netzwerkisolierung und Datenbank-Firewall
Mit Amazon Virtual Private Cloud (VPC) können Sie Ihre DB-Instances in Ihrem eigenen virtuellen Netzwerk isolieren und eine Verbindung mit Ihrer vorhandenen IT-Infrastruktur über branchenstandardmäßig verschlüsselte IPSec-VPNs herstellen.
Mit Amazon VPC können Sie Ihre DB-Instances durch Angabe des zu verwendenden IP-Bereichs isolieren und eine Verbindung mit Ihrer vorhandenen IT-Infrastruktur über branchenstandardmäßig verschlüsselte IPsec-VPNs herstellen. Wenn Sie Amazon RDS in einer VPC ausführen, können Sie eine DB-Instance in einem privaten Subnetz haben. Sie können auch ein virtuelles privates Gateway einrichten, das Ihr Unternehmensnetzwerk in Ihre VPC erweitert und den Zugriff auf die Amazon RDS-DB-Instance in dieser VPC ermöglicht. Weitere Informationen hierzu finden Sie im Benutzerhandbuch zu Amazon VPC. Auf innerhalb einer Amazon VPC bereitgestellte DB-Instances kann über das Internet oder von Amazon EC2-Instances außerhalb der VPC über VPN oder Bastion-Hosts zugegriffen werden, die Sie in Ihrem öffentlichen Subnetz starten können. Wenn Sie einen Bastion-Host verwenden möchten, müssen Sie ein öffentliches Subnetz mit einer EC2-Instance einrichten, die als SSH-Bastion fungiert. Dieses öffentliche Subnetz muss über ein Internet-Gateway und Routing-Regeln verfügen, die erlauben, dass der Datenverkehr über den SSH-Host gerichtet wird. Dieser muss dann Anforderungen an die private IP-Adresse Ihrer Amazon-RDS-DB-Instance weiterleiten. Sie können DB Security Groups verwenden, um DB Instances innerhalb einer Amazon VPC zu schützen. Darüber hinaus kann der in jedes Subnetz ein- und ausgehende Netzwerkverkehr über Netzwerk-ACLs zugelassen oder verweigert werden. Der gesamte Netzwerkverkehr, der über Ihre IPsec-VPN-Verbindung in Ihre Amazon VPC eintritt oder diese verlässt, kann von Ihrer lokalen Sicherheitsinfrastruktur, einschließlich Netzwerk-Firewalls und Intrusion-Detection-Systemen, überprüft werden.
Datenbank-Aktivitätsstreams
Neben externen Sicherheitsbedrohungen müssen verwaltete Datenbanken auch Schutz vor internen Risiken durch Datenbankadministratoren (DBAs) bieten. Database Activity Streams, die derzeit für Amazon Aurora und Amazon RDS for Oracle unterstützt werden, bieten einen Echtzeit-Datenstream der Datenbankaktivitäten in Ihrer relationalen Datenbank. Durch die Integration mit Tools zur Überwachung der Datenbankaktivität von Drittanbietern können Sie die Datenbankaktivität überwachen und prüfen, um Schutz für Ihre Datenbank zu bieten und Compliance- und behördliche Anforderungen zu erfüllen.
Database Activity Streams schützt Ihre Datenbank vor internen Bedrohungen, indem ein Schutzmodell implementiert wird, das den DBA-Zugriff auf den Datenbank-Aktivitätsstream steuert. Somit entzieht sich die Erfassung, Übertragung, Speicherung und anschließende Verarbeitung des Datenbank-Aktivitätsstroms dem Zugriff der DBAs, die die Datenbank verwalten.
Der Stream wird an einen Amazon Kinesis-Datenstream übertragen, der im Namen Ihrer Datenbank erstellt wird. Von Kinesis Data Firehose aus kann der Datenbank-Aktivitätsstream dann von Amazon CloudWatch oder von Partneranwendungen für das Compliance-Management wie IBM Security Guardium genutzt werden. Diese Partneranwendungen können die Informationen des Datenbankaktivitäts-Streams nutzen, um Benachrichtigungen zu erstellen und die Prüfung sämtlicher Aktivitäten auf Ihren Amazon Aurora-Datenbanken zu veranlassen.
Weitere Informationen zur Verwendung von Database Activity Streams für die PostgreSQL- und MySQL-kompatiblen Editionen von Aurora finden Sie auf der Dokumentationsseite und für Amazon RDS für Oracle auf der Dokumentationsseite.
„Der Datenschutz von Imperva nutzt Feeds von AWS Database Activity Stream (DAS) -Ereignissen (sowie verschiedenen anderen AWS-Quellen) und fügt den Sicherheitskontext durch leistungsstarke, speziell entwickelte Analysen hinzu. Imperva erkennt böswillige Aktivitäten, ausweichendes Verhalten und Missbrauch von Rechten, die auf kompromittierte Konten und Elemente einer Insiderbedrohung hinweisen könnten. Zu den weiteren Vorteilen gehören die interaktive Datenexploration, eine umfassende, sofort einsatzbereite Automatisierung und integrierte Reaktionsmöglichkeiten durch Playbooks, die die Gesamtbetriebskosten senken und die Qualifikationslücken schließen, mit denen die meisten Unternehmen bei der Umstellung auf die Cloud konfrontiert sind. „— Dan Neault, SVP und GM, Data Security BU, Imperva.
Um mehr zu erfahren, besuchen Sie bitte die Datensicherheitsseite von Imperva.
„IBM Security® Guardium® Data Protection trägt dazu bei, die Sicherheit, den Datenschutz und die Integrität kritischer Daten in einer Vielzahl von Umgebungen zu gewährleisten — von Datenbanken bis hin zu Big Data, Hybrid/Cloud, Dateisystemen und mehr. Wir freuen uns über die Integration mit AWS Database Activity Streams (DAS). Diese Integration wird unseren gemeinsamen Kunden einen nahezu Echtzeit-Einblick in die Datenbankaktivitäten geben und es ihnen ermöglichen, Bedrohungen schnell zu erkennen und einen konsistenten, strategischen Ansatz für den Datenschutz in lokalen und Cloud-Umgebungen zu verfolgen. „— Benazeer Daruwalla, Offering Manager, Data Protection Portfolio, IBM Security.
Um mehr zu erfahren, besuchen Sie bitte die IBM Sicherheitsseite.
Compliance
Amazon RDS ist bestrebt, seinen Kunden ein starkes Compliance-Framework sowie fortschrittliche Tools und Sicherheitsmaßnahmen zu bieten, mit denen Kunden die Einhaltung geltender gesetzlicher und behördlicher Anforderungen bewerten, erfüllen und nachweisen können. Kunden sollten das AWS-Modell der geteilten Verantwortung überprüfen und die Verantwortlichkeiten von Amazon RDS und die Verantwortlichkeiten der Kunden zuordnen. Kunden können AWS Artifact auch verwenden, um auf die Auditberichte von RDS zuzugreifen und ihre Kontrollaufgaben zu bewerten.
Mehr Informationen finden Sie auf der AWS-Compliance-Seite.
Häufig gestellte Fragen
Was ist die Amazon Virtual Private Cloud (VPC) und wie funktioniert sie mit Amazon RDS zusammen?
Mit Amazon VPC können Sie eine virtuelle Netzwerkumgebung in einem privaten, isolierten Bereich der AWS Cloud erstellen. Hier haben Sie die vollständige Kontrolle über private IP-Adressbereiche, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Mit Amazon VPC definieren Sie eine virtuelle Netzwerktopologie und passen die Netzwerkkonfiguration an Ihre Bedürfnisse an, so dass sie einem herkömmlichen IP-Netzwerk ähnelt, das Sie in Ihrem eigenen Rechenzentrum betreiben könnten.
VPC eignet sich besonders, wenn Sie eine öffentlich zugängliche Webanwendung ausführen, aber nicht öffentlich zugängliche Backend-Server in einem privaten Subnetz beibehalten möchten. Sie können ein öffentlich zugängliches Subnetz für Ihre Webserver erstellen, das Zugang zum Internet hat, und Ihre Backend-Amazon-RDS-DB-Instances in einem nicht öffentlich zugänglichen Subnetz ohne Internetzugriff einrichten. Weitere Informationen zu Amazon VPC erhalten Sie im Benutzerhandbuch zu Amazon Virtual Private Cloud.
Inwiefern unterscheidet sich die Nutzung von Amazon RDS in einer VPC von der Nutzung auf der EC2-Classic-Plattform (ohne VPC)?
Wurde Ihr AWS-Konto vor dem 4. Dezember 2013 erstellt, können Sie Amazon RDS möglicherweise in einer Amazon Elastic Compute Cloud (EC2)-Classic-Umgebung ausführen. Die grundlegenden Funktionen von Amazon RDS sind dieselben, unabhängig davon, ob EC2-Classic oder EC2-VPC genutzt wird. Amazon RDS verwaltet Backups, Software-Patches, automatische Fehlererkennung, Lesereplikate und Wiederherstellungen unabhängig davon, ob Ihre DB-Instances innerhalb oder außerhalb einer VPC bereitgestellt werden. Weitere Informationen zu den Unterschieden zwischen EC2-Classic und EC2-VPC finden Sie in der EC2-Dokumentation.
Was ist eine DB Subnet Group und warum benötige ich eine?
Eine DB-Subnetzgruppe ist eine Sammlung von Subnetzen, die Sie für Ihre Amazon-RDS-DB-Instances in einer VPC verwenden können. Jede DB-Subnetzgruppe sollte mindestens über ein Subnetz für jede Availability Zone in einer bestimmten Region verfügen. Wenn Sie eine DB-Instance in VPC erstellen, müssen Sie eine DB-Subnetzgruppe auswählen. Amazon RDS verwendet diese DB-Subnetzgruppe und Ihre bevorzugte Availability Zone dann zur Auswahl eines Subnetzes und einer IP-Adresse in diesem Subnetz. Amazon RDS erstellt und ordnet Ihrer DB-Instance eine Elastic-Network-Schnittstelle mit dieser IP-Adresse zu.
Es wird dringend empfohlen, dass Sie den DNS-Namen für die Verbindung mit Ihrer DB-Instance verwenden, da sich die zugrunde liegende IP-Adresse ändern kann (z. B während eines Failovers).
Bei Multi-AZ-Bereitstellungen kann Amazon RDS durch die Definition eines Subnetzes für alle Availability Zones in einer Region bei Bedarf eine neue Standby-Instance in einer anderen Availability Zone erstellen. Sie müssen dies sogar für Einzel-AZ-Bereitstellungen vornehmen, nur für den Fall, dass Sie sie zu einem späteren Zeitpunkt in Multi-AZ-Bereitstellungen umwandeln möchten.
Wie kann ich eine Amazon RDS DB Instance in VPC erstellen?
Eine Schritt-für-Schritt-Anleitung zu diesem Prozess finden Sie im Amazon RDS-Benutzerhandbuch unter Creating a DB Instance in a VPC.
Wie kontrolliere ich den Netzwerkzugriff auf meine DB Instance(s)?
Im Benutzerhandbuch zu Amazon RDS finden Sie im Abschnitt Sicherheitsgruppe Informationen zu den verschiedenen Möglichkeiten, den Zugriff auf Ihre DB-Instances zu steuern.
Wie kann ich eine Verbindung mit einer Amazon-RDS-DB-Instance in VPC herstellen?
Auf DB-Instances, die innerhalb einer VPC bereitgestellt werden, kann von in derselben VPC bereitgestellten EC2-Instances zugegriffen werden. Wenn diese EC2-Instances in einem öffentlichen Subnetz mit zugeordneten Elastic-IP-Adressen bereitgestellt werden, können Sie über das Internet auf die EC2-Instances zugreifen. Innerhalb einer VPC bereitgestellte DB-Instances können aus dem Internet oder von EC2-Instances außerhalb der VPC über VPN - oder Bastion-Hosts abgerufen werden, die Sie in Ihrem öffentlichen Subnetz starten können, oder mithilfe der Option Öffentlich zugänglich von Amazon RDS:
- Um einen Bastion-Host zu verwenden, müssen Sie ein öffentliches Subnetz mit einer EC2-Instance einrichten, die als SSH-Bastion fungiert. Dieses öffentliche Subnetz muss über ein Internet-Gateway und Routing-Regeln verfügen, die es ermöglichen, den Datenverkehr über den SSH-Host zu leiten, der dann Anfragen an die private IP-Adresse Ihrer Amazon RDS-DB-Instance weiterleiten muss.
- Erstellen Sie für eine öffentliche Anbindung Ihre DB-Instances mit auf „Yes“ festgelegter Option „Publicly Accessible“. Wenn "Publicly Accessible" aktiv ist, kann standardmäßig von außerhalb Ihrer VPC voll auf Ihre DB-Instances in der VPC zugegriffen werden. Das heißt, dass Sie kein VPN bzw. keinen Bastion-Host konfigurieren müssen, um den Zugriff auf Ihre Instances zuzulassen.
Sie können auch ein VPN-Gateway einrichten, durch das Ihr Unternehmensnetzwerk in Ihre VPC ausgedehnt wird und das einen Zugriff auf die Amazon-RDS-DB-Instance in dieser VPC ermöglicht. Weitere Informationen hierzu finden Sie im Benutzerhandbuch zu Amazon VPC.
Es wird dringend empfohlen, dass Sie den DNS-Namen für die Verbindung mit Ihrer DB-Instance verwenden, da sich die zugrunde liegende IP-Adresse ändern kann (z. B während eines Failovers).
Kann ich meine vorhandenen DB Instances außerhalb der VPC in meine VPC verschieben?
Falls sich Ihre DB-Instance nicht in einer VPC befindet, können Sie sie einfach mithilfe der AWS-Managementkonsole in eine VPC verschieben. Weitere Informationen hierzu finden Sie im Amazon RDS-Benutzerhandbuch. Sie können auch einen Snapshot Ihrer DB-Instance außerhalb der VPC erstellen und ihn in der VPC wiederherstellen, indem Sie die gewünschte DB-Subnetzgruppe angeben. Sie können auch eine "Wiederherstellung zu einem bestimmten Zeitpunkt" vornehmen.
Kann ich meine vorhandenen DB Instances von innerhalb der VPC aus der VPC heraus verschieben?
Die Migration von DB-Instances von innerhalb zu außerhalb der VPC wird nicht unterstützt. Aus Sicherheitsgründen kann ein DB-Snapshot einer DB-Instance in einer VPC nicht außerhalb der VPC wiederhergestellt werden. Dasselbe gilt für die Funktion "Wiederherstellung zu einem bestimmten Zeitpunkt".
Welche Vorkehrungen sollte ich treffen, um sicherzustellen, dass meine Anwendung auf die DB Instances in der VPC zugreifen kann?
Sie sind dafür verantwortlich, Routing-Tabellen und Netzwerk-ACLs in Ihrer VPC zu ändern, um sicherzustellen, dass Ihre DB-Instance von Ihren Client-Instances in der VPC aus erreichbar ist. Bei Multi-AZ-Bereitstellungen befindet sich Ihre Client-EC2-Instance und die Amazon-RDS-DB-Instance nach einem Failover eventuell in verschiedenen Availability Zones. Sie sollten Ihre Netzwerk-ACLs konfigurieren, um sicherzustellen, dass eine AZ-übergreifende Kommunikation möglich ist.
Kann ich die DB Subnet Group meiner DB Instance ändern?
Eine vorhandene DB-Subnetzgruppe kann aktualisiert werden, um weitere Subnetze für vorhandene Availability Zones oder für neue Availability Zones hinzuzufügen, die nach dem Erstellen der DB-Instance hinzugefügt wurden. Das Entfernen von Subnetzen aus einer vorhandenen DB-Subnetzgruppe kann eine Nichtverfügbarkeit für Instances bewirken, wenn diese in einer bestimmten Availability Zone ausgeführt werden, die aus der Subnetzgruppe entfernt wird. Weitere Informationen hierzu finden Sie im Benutzerhandbuch zu Amazon RDS.
Was ist ein Amazon-RDS-Hauptbenutzerkonto und wie unterscheidet es sich von einem AWS-Konto?
Um Amazon RDS verwenden zu können, benötigen Sie ein AWS-Entwicklerkonto. Wenn Sie vor der Anmeldung für Amazon RDS kein Entwicklerkonto besitzen, werden Sie zu Beginn des Anmeldevorgangs zur Erstellung eines solchen Kontos aufgefordert. Ein Haupt-Benutzerkonto unterscheidet sich von einem AWS-Entwicklerkonto und wird ausschließlich im Rahmen von Amazon RDS verwendet, um den Zugriff auf Ihre DB-Instance(s) zu kontrollieren. Beim Haupt-Benutzerkonto handelt es sich um das Benutzerkonto einer nativen Datenbank, über das Sie auf Ihre DB-Instance zugreifen können.
Bei Erstellung der einzelnen DB-Instances können Sie festlegen, welcher Haupt-Benutzername und welches Kennwort diesen zugewiesen werden sollen. Nach Erstellung Ihrer DB-Instance können Sie mithilfe der Haupt-Benutzerdaten auf die Datenbank zugreifen. Anschließend können Sie weitere Benutzerkonten erstellen, mit denen Sie den Zugriff auf Ihre DB-Instance einschränken können.
Welche Berechtigungen werden dem Haupt-Benutzer meiner DB-Instance gewährt?
Der Haupt-Benutzer verfügt über folgende Standardberechtigungen für MySQL: Erstellen, Entfernen, Referenzen, Ereignis, Ändern, Löschen, Index, Einfügen, Auswählen, Aktualisieren, temporäre Tabellen erstellen, Tabellen sperren, Auslösen, Ansicht erstellen, Ansicht anzeigen, Routine ändern, Routine erstellen, Ausführen, Auslösen, Benutzer erstellen, Verarbeiten, Datenbanken anzeigen, Option erteilen.
Der Haupt-Benutzer verfügt in Oracle über die „dba“-Rolle. Der Haupt-Benutzer übernimmt die meisten Berechtigungen, die der Rolle zugeordnet sind. Eine Liste mit den eingeschränkten Berechtigungen und den entsprechenden Alternativen, um administrative Aufgaben durchzuführen, die diese Berechtigungen eventuell erfordern, finden Sie im Amazon-RDS-Benutzerhandbuch.
Bei SQL Server wird dem Benutzer, der eine Datenbank anlegt, die Rolle "db_owner" zugewiesen. Eine Liste mit den eingeschränkten Berechtigungen und den entsprechenden Alternativen, um administrative Aufgaben durchzuführen, die diese Berechtigungen eventuell erfordern, finden Sie im Amazon RDS-Benutzerhandbuch.
Gibt es in Amazon RDS Besonderheiten, was die Benutzerverwaltung betrifft?
Nein, alles funktioniert so, wie Sie es von relationalen Datenbanken gewohnt sind, die Sie selbst verwalten.
Können Programme, die auf Servern in meinem eigenen Rechenzentrum ausgeführt werden, auf Amazon-RDS-Datenbanken zugreifen?
Ja. Sie müssen den Zugriff auf Ihre Datenbank über das Internet manuell aktivieren, indem Sie Sicherheitsgruppen konfigurieren. Sie können den Zugriff nur für die spezifischen IP-Adressen, IP-Adressbereiche und Subnetze autorisieren, die Servern in Ihrem eigenen Rechenzentrum entsprechen.
Kann ich Verbindungen zwischen meiner Anwendung und meiner DB-Instance mithilfe von SSL/TLS verschlüsseln?
Ja, diese Option wird für alle Amazon RDS-Engines unterstützt. Amazon RDS generiert ein SSL/TLS-Zertifikat für jede DB-Instance. Nach dem Herstellen einer verschlüsselten Verbindung werden Daten zwischen der DB-Instance und Ihrer Anwendung verschlüsselt übertragen. Wenngleich SSL Sicherheitsvorteile bietet, sollten Sie daran denken, dass eine SSL-/TLS-Verschlüsselung sehr rechenintensiv ist und die Latenz Ihrer Datenbankverbindung erhöhen wird. Die Unterstützung für SSL/TLS in Amazon RDS dient zur Verschlüsselung der Verbindung zwischen Ihrer Anwendung und Ihrer DB-Instance. Sie sollte nicht zur Authentifizierung der DB-Instance selbst genutzt werden.
Einzelheiten zum Aufbau einer verschlüsselten Verbindung mit Amazon RDS finden Sie im Amazon RDS MySQL-Benutzerhandbuch, MariaDB-Benutzerhandbuch, PostgreSQL-Benutzerhandbuch oder Oracle-Benutzerhandbuch.
Kann ich in meinen Amazon RDS-Datenbanken Daten im Ruhezustand verschlüsseln?
Amazon RDS unterstützt Verschlüsselung im Ruhezustand für alle Datenbank-Engines mithilfe von Schlüsseln, die Sie mit dem AWS Key Management Service (KMS) verwalten. Bei einer mit Amazon RDS-Verschlüsselung ausgeführten DB-Instance sind die im zugrunde liegenden Speicher gespeicherten Daten verschlüsselt, was auch für deren automatisierte Backups, Read Replicas und Snapshots gilt. Ver- und Entschlüsselung erfolgen transparent. Weitere Informationen zur Verwendung von KMS mit Amazon RDS finden Sie im Amazon RDS-Benutzerhandbuch.
Sie können auch eine Verschlüsselung zu einer zuvor unverschlüsselten DB-Instance oder einem DB-Cluster hinzufügen, indem Sie einen DB-Snapshot erstellen, eine Kopie davon erzeugen und anschließend eine KMS-Verschlüsselung festlegen. Sie können dann eine verschlüsselte DB-Instance oder einen DB-Cluster aus dem verschlüsselten Snapshot wiederherstellen.
Amazon RDS für Oracle und SQL Server unterstützen die TDE-Technologien (Transparent Data Encryption) dieser Engines. Weitere Informationen finden Sie im Amazon RDS-Benutzerhandbuch für Oracle und SQL Server.
F: Kann ich AWS CloudHSM in meine Amazon RDS for Oracle-Datenbank integrieren?
Nein, eine Oracle-Instance auf Amazon RDS kann nicht in AWS CloudHSM integriert werden. Um transparente Datenverschlüsselung (TDE) mit AWS CloudHSM zu verwenden, muss die Oracle-Datenbank auf Amazon EC2 installiert werden.
Wie kontrolliere ich die Aktionen, die meine Systeme und Benutzer auf bestimmte Amazon-RDS-Ressourcen anwenden können?
Sie können die Aktionen steuern, die Ihre AWS IAM-Benutzer und -Gruppen auf Amazon RDS-Ressourcen ausführen können. Dies erfolgt über Verweise auf die Amazon-RDS-Ressourcen in den AWS-IAM-Richtlinien, die Sie auf Ihre Benutzer und Gruppen anwenden können. Zu den Amazon RDS-Ressourcen, auf die in einer AWS-IAM-Richtlinie verwiesen werden kann, gehören DB-Instances, DB-Snapshots, Read Replicas, DB-Sicherheitsgruppen, DB-Optionsgruppen, DB-Parametergruppen, Event-Abonnements und DB-Subnetzgruppen.
Darüber hinaus können Sie diese Ressourcen markieren, um ihnen weitere Metadaten hinzuzufügen. Sie können so Ihren Ressourcen Kategorien zuweisen (z. B. „Entwicklung“-DB-Instances, „Produktion“-DB-Instances, „Test“-DB-Instances usw.) und AWS-IAM-Richtlinien festlegen, in denen die Berechtigungen für die Aktionen aufgeführt sind, die auf Ressourcen der jeweiligen Kategorie angewendet werden dürfen. Weitere Informationen finden Sie unter Tagging von Amazon-RDS-Ressourcen.
Ich möchte eine Sicherheitsanalyse oder eine betriebliche Fehlerbehebung für meine Amazon RDS-Bereitstellung durchführen. Kann ich eine Historie aller Amazon RDS-API-Aufrufe abrufen, die auf meinem Konto getätigt wurden?
Ja. AWS CloudTrail ist ein Web-Service, der Aufrufe von AWS-APIs für Ihr Konto aufzeichnet und Protokolldateien an Sie übermittelt. Der AWS-API-Aufrufverlauf, der von CloudTrail generiert wird, ermöglicht eine Sicherheitsanalyse, Nachverfolgung von Ressourcenänderungen und Überwachung der Einhaltung von Vorschriften.
Kann ich Amazon RDS mit Anwendungen verwenden, die der HIPAA-Compliance entsprechen müssen?
Ja, alle Amazon RDS-Datenbank-Engines sind HIPAA-fähig, sodass Sie sie verwenden können, um HIPAA-konforme Anwendungen zu erstellen und gesundheitsbezogene Informationen, einschließlich geschützter Gesundheitsinformationen (PHI), im Rahmen einer ausgeführten Business Associate Agreement (BAA) mit AWS zu speichern.
Wenn Sie bereits ein aktives BAA haben, können Sie ohne weitere Maßnahmen diese Services mit den vom BAA abgedeckten Konten verwenden. Wenn Sie kein ausgeführtes BAA mit AWS haben oder weitere Fragen zu HIPAA-konformen Anwendungen auf AWS haben, wenden Sie sich bitte an
Ihren Account Manager.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit Amazon RDS in der AWS-Konsole.