Keamanan Amazon RDS
Amazon RDS adalah layanan basis data relasional terkelola yang memberikan delapan mesin basis data familier yang dapat dipilih, termasuk Amazon Aurora Edisi yang Kompatibel PostgreSQL, Amazon Aurora Edisi yang Kompatibel MySQL, RDS for PostgreSQL, RDS for MySQL, RDS for MariaDB, RDS for SQL Server, RDS for Oracle, dan RDS for Db2.
Amazon RDS dan Amazon Aurora menyediakan serangkaian fitur untuk memastikan bahwa data Anda disimpan dan diakses dengan aman. Jalankan basis data Anda di Amazon Virtual Private Cloud (VPC) untuk isolasi tingkat jaringan. Gunakan grup keamanan untuk mengontrol alamat IP atau instans Amazon EC2 yang dapat terhubung ke basis data Anda. Firewall bawaan ini mencegah semua akses basis data kecuali melalui aturan yang Anda tentukan.
Gunakan kebijakan AWS Identity and Access Management (IAM) untuk menetapkan izin yang menentukan siapa yang diizinkan mengelola sumber daya Amazon RDS. Gunakan fitur keamanan mesin basis data Anda untuk mengontrol siapa yang dapat masuk ke basis data, seperti yang Anda lakukan jika basis data berada di jaringan lokal Anda. Anda juga dapat memetakan pengguna basis data ke peran IAM untuk akses gabungan.
Gunakan koneksi Lapisan Soket Aman/Keamanan Lapisan Pengangkutan (SSL/TLS) untuk mengenkripsi data bergerak. Enkripsi penyimpanan basis data dan cadangan Anda saat diam menggunakan Amazon Key Management Service (KMS). Pantau aktivitas basis data dan integrasikan dengan aplikasi keamanan basis data partner dengan Aliran Aktivitas Basis Data.
Enkripsi Data Diam
Amazon RDS mengenkripsi basis data Anda menggunakan kunci yang Anda kelola dengan AWS Key Management Service (KMS). Pada instans basis data yang berjalan dengan enkripsi Amazon RDS, data yang disimpan saat diam di penyimpanan yang mendasarinya dienkripsi, begitu juga dengan pencadangan otomatis, replika baca, dan snapshot. Enkripsi Amazon RDS menggunakan algoritma enkripsi AES-256 standar industri untuk mengenkripsi data Anda di server yang melakukan host instans Amazon RDS Anda.
Amazon RDS juga mendukung Enkripsi Data Transparan (TDE) untuk SQL Server (Edisi Korporasi SQL Server dan Edisi Standar) dan Oracle (opsi Keamanan Lanjutan Oracle di Edisi Korporasi Oracle). Dengan TDE, server basis data secara otomatis mengenkripsi data sebelum ditulis ke penyimpanan dan secara otomatis mendekripsi data ketika dibaca dari penyimpanan.
Amazon RDS memberikan panduan praktik terbaik dengan menganalisis konfigurasi dan metriks penggunaan dari instans basis data Anda. Rekomendasi mencakup bidang-bidang seperti keamanan, enkripsi, IAM, dan VPC. Anda dapat menelusuri rekomendasi yang tersedia dan segera melakukan tindakan yang disarankan, menjadwalkannya periode pemeliharaan berikutnya, atau menghapus semuanya.
Enkripsi Data Bergerak
Enkripsi komunikasi antara aplikasi dan Instans DB Anda menggunakan SSL/TLS. Amazon RDS membuat sertifikat SSL dan menginstal sertifikat pada instans DB saat instans disediakan. Untuk MySQL, Anda meluncurkan klien mysql menggunakan parameter --ssl_ca untuk mereferensikan kunci publik guna mengenkripsi koneksi. Untuk SQL Server, unduh kunci publik dan impor sertifikat ke sistem operasi Windows Anda. RDS for Oracle menggunakan enkripsi jaringan native Oracle dengan instans DB. Anda cukup menambahkan opsi enkripsi jaringan native ke grup opsi dan mengaitkan grup opsi tersebut dengan instans DB. Setelah koneksi terenkripsi terjalin, data yang ditransfer antara Instans DB dan aplikasi Anda akan dienkripsi selama transfer. Anda juga dapat meminta instans DB Anda untuk hanya menerima koneksi terenkripsi.
Kontrol Akses
Amazon RDS terintegrasi dengan AWS Identity and Access Management (IAM) dan memberi Anda kemampuan untuk mengontrol tindakan yang dapat dilakukan oleh pengguna dan grup IAM AWS Anda pada sumber daya tertentu (misalnya, Instans DB, Snapshot DB, Grup Parameter DB, Langganan Peristiwa DB, Grup Opsi DB). Selain itu, Anda dapat menandai sumber daya Anda dan mengontrol tindakan yang dapat dilakukan oleh pengguna dan grup IAM Anda pada grup sumber daya yang memiliki tanda (dan nilai tanda) yang sama. Untuk informasi selengkapnya mengenai integrasi IAM, lihat dokumentasi Autentikasi Basis Data IAM.
Anda juga dapat memberikan tanda pada sumber daya Amazon RDS serta mengontrol tindakan yang dapat dilakukan oleh pengguna dan grup IAM pada grup sumber daya yang memiliki tanda dan nilai terkait yang sama. Misalnya, Anda dapat mengonfigurasi peraturan IAM untuk memastikan developer dapat mengubah instans basis data "Pengembangan", tetapi hanya Administrator Basis Data yang dapat mengubah instans basis data "Produksi".
Saat pertama kali membuat Instans DB dalam Amazon RDS, Anda akan membuat akun pengguna primer, yang hanya digunakan dalam konteks Amazon RDS untuk mengontrol akses ke Instans DB Anda. Akun pengguna primer adalah akun pengguna basis data native yang memungkinkan Anda masuk ke Instans DB dengan semua hak istimewa basis data. Anda dapat menentukan nama pengguna primer dan kata sandi yang ingin Anda kaitkan dengan masing-masing Instans DB ketika Anda membuat Instans DB. Setelah Anda membuat Instans DB, Anda dapat terhubung ke basis data menggunakan kredensial pengguna primer. Kemudian, Anda dapat membuat akun pengguna tambahan sehingga Anda dapat membatasi siapa yang dapat mengakses Instans DB Anda.
Isolasi Jaringan dan Firewall Basis Data
Dengan menggunakan Amazon Virtual Private Cloud (VPC), Anda dapat mengisolasi Instans DB dalam jaringan virtual Anda sendiri dan menyambungkannya ke infrastruktur IT yang Anda miliki menggunakan VPN IPSec terenkripsi standar-industri.
Dengan Amazon VPC, Anda dapat mengisolasi Instans DB dengan menentukan rentang IP yang ingin Anda gunakan dan sambungkan ke infrastruktur IT yang ada melalui VPN IPsec terenkripsi standar industri. Menjalankan Amazon RDS di VPC dapat membantu Anda memiliki instans DB dalam subnet privat. Anda juga dapat mengatur gateway privat virtual yang memperpanjang jaringan korporasi ke VPC Anda dan mengizinkan akses ke instans DB Amazon RDS dalam VPC tersebut. Lihat Panduan Pengguna Amazon VPC untuk mengetahui detail selengkapnya. Instans DB yang dilakukan deployment dalam Amazon VPC dapat diakses dari Internet atau dari Instans Amazon EC2 di luar VPC melalui VPN atau host bastion yang dapat diluncurkan di subnet publik Anda. Untuk menggunakan host bastion, Anda perlu menyiapkan subnet publik dengan instans EC2 yang bertindak sebagai Bastion SSH. Subnet publik ini harus memiliki gateway Internet dan peraturan perutean yang memungkinkan lalu lintas untuk diarahkan melalui host SSH, yang kemudian harus meneruskan permintaan ke alamat IP privat dari instans DB Amazon RDS Anda. Grup keamanan DB dapat digunakan untuk membantu mengamankan Instans DB di dalam Amazon VPC. Selain itu, lalu lintas jaringan yang masuk dan keluar dari setiap subnet dapat diizinkan atau ditolak melalui ACL jaringan. Semua lalu lintas jaringan yang masuk atau keluar dari Amazon VPC Anda melalui koneksi VPN IPsec dapat diperiksa oleh infrastruktur keamanan on-premise Anda, termasuk firewall jaringan dan sistem deteksi intrusi.
Aliran Aktivitas Basis Data
Di luar ancaman keamanan eksternal, basis data yang dikelola perlu memberikan perlindungan terhadap risiko orang dalam dari administrator basis data (DBA). Aliran Aktivitas Basis Data, yang saat ini didukung untuk Amazon Aurora dan Amazon RDS for Oracle, menyediakan aliran data waktu nyata dari aktivitas basis data dalam basis data relasional Anda. Ketika terintegrasi dengan alat pemantauan aktivitas basis data pihak ketiga, Anda dapat memantau dan mengaudit aktivitas basis data untuk memberikan perlindungan bagi basis data Anda dan memenuhi persyaratan kepatuhan dan peraturan.
Aliran Aktivitas Basis Data melindungi basis data Anda dari ancaman internal dengan menerapkan model perlindungan yang mengontrol akses DBA ke aliran aktivitas basis data. Dengan demikian pengumpulan, transmisi, penyimpanan, dan pemrosesan selanjutnya dari aliran aktivitas basis data berada di luar akses DBA yang mengelola basis data.
Aliran didorong ke aliran data Amazon Kinesis yang dibuat atas nama basis data Anda. Dari Kinesis Data Firehose, aliran aktivitas basis data kemudian dapat digunakan oleh Amazon CloudWatch atau oleh aplikasi mitra untuk manajemen kepatuhan, seperti IBM Security Guardium. Aplikasi partner ini dapat menggunakan informasi aliran aktivitas basis data untuk membuat peringatan dan memberikan audit atas semua aktivitas di basis data Amazon Aurora Anda.
Anda dapat mempelajari selengkapnya mengenai penggunaan Aliran Aktivitas Basis Data untuk edisi Aurora yang kompatibel dengan PostgreSQL dan MySQL di halaman dokumentasi dan untuk Amazon RDS for Oracle di halaman dokumentasi.
“Perlindungan data Imperva mengambil umpan dari peristiwa-peristiwa Aliran Aktivitas Basis Data (DAS) AWS (serta berbagai sumber AWS lainnya), yang menambahkan konteks keamanan melalui analitik yang kuat dan dibangun khusus. Imperva mendeteksi aktivitas berbahaya, perilaku berkelit, dan penyalahgunaan hak istimewa yang mungkin merupakan indikator akun yang disusupi dan elemen ancaman orang dalam. Manfaat tambahan termasuk eksplorasi data interaktif, otomatisasi canggih, dan respons bawaan melalui playbook yang menurunkan TCO dan menjembatani kesenjangan keterampilan yang dihadapi sebagian besar perusahaan saat berpindah ke Cloud.” – Dan Neault, SVP dan GM, Data Security BU, Imperva.
Untuk mempelajari selengkapnya, silakan kunjungi halaman keamanan data Imperva.
"Perlindungan Data IBM Security® Guardium® membantu memastikan keamanan, privasi, dan integritas data penting di berbagai lingkungan, mulai dari basis data hingga big data, hibrida/cloud, sistem file, dan banyak lagi. Kami sangat senang berintegrasi dengan Aliran Aktivitas Basis Data (DAS) AWS. Integrasi ini akan memungkinkan pelanggan gabungan kami untuk melihat aktivitas basis data hampir secara waktu nyata sehingga mereka dapat dengan cepat mengidentifikasi ancaman dan melakukan pendekatan strategis yang konsisten terhadap perlindungan data di seluruh lingkungan on-premise dan cloud.” – Benazeer Daruwalla, Offering Manager, Data Protection Portfolio, IBM Security.
Untuk mempelajari selengkapnya, silakan kunjungi halaman keamanan IBM.
Kepatuhan
Amazon RDS berkomitmen untuk menawarkan kepada pelanggan kerangka kerja kepatuhan yang kuat serta alat bantu canggih dan langkah-langkah keamanan yang dapat digunakan pelanggan untuk mengevaluasi, memenuhi, dan menunjukkan kepatuhan terhadap persyaratan hukum dan peraturan yang berlaku. Pelanggan harus meninjau model tanggung jawab bersama AWS dan memetakan tanggung jawab Amazon RDS serta tanggung jawab pelanggan. Pelanggan juga dapat menggunakan AWS Artifact untuk mengakses laporan audit RDS dan melakukan penilaian mereka terhadap tanggung jawab kontrol.
Untuk informasi selengkapnya, silakan kunjungi Halaman Kepatuhan AWS.
FAQ
Apa itu Amazon Virtual Private Cloud (VPC) dan bagaimana cara kerjanya dengan Amazon RDS?
Amazon VPC memungkinkan Anda membuat lingkungan jaringan virtual di bagian privat dan terisolasi dari AWS cloud, tempat Anda dapat melakukan kontrol penuh atas aspek-aspek, seperti rentang alamat IP privat, subnet, tabel perutean, dan gateway jaringan. Dengan Amazon VPC, Anda dapat menentukan topologi jaringan virtual dan menyesuaikan konfigurasi jaringan agar mirip dengan jaringan IP tradisional yang mungkin Anda operasikan di pusat data Anda sendiri.
Salah satu cara Anda dapat memanfaatkan VPC adalah ketika Anda ingin menjalankan aplikasi web publik sekaligus masih mempertahankan server backend yang tidak dapat diakses publik di subnet privat. Anda dapat membuat subnet publik untuk server web yang memiliki akses ke Internet, dan menempatkan Instans DB Amazon RDS backend dalam subnet privat tanpa akses Internet. Untuk informasi selengkapnya mengenai Amazon VPC, lihat Panduan Pengguna Amazon Virtual Private Cloud.
Apa perbedaan menggunakan Amazon RDS di dalam VPC dan menggunakannya di platform EC2-Classic (non-VPC)?
Jika akun AWS Anda dibuat sebelum tanggal 04-12-2013, Anda mungkin dapat menjalankan Amazon RDS di lingkungan Amazon Elastic Compute Cloud (EC2)-Classic. Fungsionalitas dasar Amazon RDS adalah sama terlepas dari apakah yang digunakan adalah EC2-Classic atau EC2-VPC. Amazon RDS mengelola cadangan, patching perangkat lunak, deteksi kegagalan otomatis, replika baca, dan pemulihan, baik ketika Instans DB Anda di-deploy di dalam atau di luar VPC. Untuk informasi selengkapnya mengenai perbedaan antara EC2-Classic dan EC2-VPC, lihat dokumentasi EC2.
Apa itu Grup Subnet DB dan mengapa saya memerlukannya?
Grup Subnet DB adalah kumpulan subnet yang mungkin ingin Anda tetapkan untuk Instans DB Amazon RDS dalam VPC. Setiap Grup Subnet DB harus memiliki setidaknya satu subnet untuk setiap Zona Ketersediaan di Wilayah yang diberikan. Ketika membuat Instans DB di VPC, Anda perlu memilih Grup Subnet DB. Amazon RDS kemudian menggunakan Grup Subnet DB tersebut dan Availability Zone yang Anda pilih untuk memilih subnet dan alamat IP dalam subnet tersebut. Amazon RDS membuat dan menghubungkan Antarmuka Jaringan Elastis ke Instans DB Anda dengan alamat IP tersebut.
Harap diperhatikan bahwa kami sangat merekomendasikan agar Anda menggunakan Nama DNS untuk terhubung dengan Instans DB Anda karena alamat IP yang mendasarinya dapat berubah (misalnya selama failover).
Untuk deployment Multi-AZ, menentukan subnet untuk semua Zona Ketersediaan di Wilayah akan mengizinkan Amazon RDS untuk membuat standby baru dalam Zona Ketersediaan lain jika diperlukan. Anda perlu melakukan ini bahkan untuk deployment AZ-Tunggal, jika Anda ingin mengonversinya ke deployment Multi-AZ di beberapa titik.
Bagaimana cara membuat Instans DB Amazon RDS di VPC?
Untuk prosedur yang dapat memandu Anda melalui proses ini, lihat Membuat Instans DB di VPC di Panduan Pengguna Amazon RDS.
Bagaimana cara mengontrol akses jaringan ke Instans DB saya?
Kunjungi bagian Grup Keamanan pada Panduan Pengguna Amazon RDS untuk mempelajari tentang perbedaan cara mengontrol akses ke Instans DB Anda.
Bagaimana cara menghubungkan Instans DB Amazon RDS di VPC?
Instans DB yang dilakukan deployment dalam VPC dapat diakses oleh Instans EC2 yang dilakukan deployment dalam VPC yang sama. Jika Instans EC2 dilakukan deployment dalam subnet publik dengan IP Elastis terkait, Anda dapat mengakses Instans EC2 melalui internet. Instans DB yang dilakukan deployment dalam VPC dapat diakses dari Internet atau dari Instans EC2 di luar VPC melalui VPN atau host bastion yang dapat Anda luncurkan di subnet publik atau menggunakan opsi yang Dapat Diakses Publik dari Amazon RDS:
- Untuk menggunakan host bastion, Anda perlu menyiapkan subnet publik dengan instans EC2 yang bertindak sebagai Bastion SSH. Subnet publik ini harus memiliki gateway internet dan peraturan perutean yang memungkinkan lalu lintas diarahkan melalui host SSH, yang kemudian harus meneruskan permintaan ke alamat IP privat dari instans DB Amazon RDS Anda.
- Untuk menggunakan konektivitas publik, cukup buat Instans DB Anda dengan mengatur opsi yang Dapat Diakses Publik ke ya. Dengan Dapat Diakses Publik yang aktif, Instans DB dalam VPC akan sepenuhnya dapat diakses dari luar VPC secara default. Ini berarti Anda tidak perlu mengonfigurasi VPN atau host bastion untuk mengizinkan akses ke instans Anda.
Anda juga dapat mengatur Gateway VPN yang memperpanjang jaringan perusahaan ke VPC Anda dan mengizinkan akses ke instans DB Amazon RDS dalam VPC tersebut. Lihat Panduan Pengguna Amazon VPC untuk mengetahui detail selengkapnya.
Kami sangat menyarankan Anda menggunakan Nama DNS agar dapat terhubung dengan Instans DB Anda karena alamat IP dasar dapat berubah (misalnya selama failover).
Apakah saya dapat memindahkan instans DB di luar VPC yang sudah ada ke dalam VPC saya?
Jika instans DB Anda tidak berada di dalam VPC, Anda dapat menggunakan Konsol Manajemen AWS untuk dengan mudah memindahkan instans DB ke dalam VPC. Lihat Panduan Pengguna Amazon RDS untuk detail lebih lanjut. Anda juga dapat mengambil snapshot Instans DB di luar VPC dan mengembalikannya ke VPC dengan menentukan Grup Subnet DB yang ingin digunakan. Selain itu, Anda juga dapat melakukan operasi “Pulihkan ke Waktu Tertentu”.
Apakah saya dapat memindahkan instans DB di dalam VPC yang sudah ada ke luar VPC saya?
Migrasi Instans DB dari dalam ke luar VPC tidak didukung. Untuk alasan keamanan, Snapshot DB dari Instans DB di dalam VPC tidak dapat dikembalikan ke luar VPC. Hal yang sama berlaku dengan fungsi “Pulihkan ke Waktu Tertentu”.
Apa tindakan pencegahan yang harus dilakukan untuk memastikan bahwa Instans DB di VPC dapat diakses oleh aplikasi saya?
Anda bertanggung jawab untuk mengubah tabel perutean dan ACL jaringan dalam VPC untuk memastikan bahwa instans DB Anda dapat dijangkau oleh instans klien di VPC. Untuk deployment Multi-AZ, setelah failover, instans EC2 dan Instans DB Amazon RDS klien Anda mungkin berada di Zona Ketersediaan yang berbeda. Anda harus mengonfigurasi ACL jaringan untuk memastikan bahwa komunikasi antara AZ dimungkinkan.
Apakah saya dapat mengubah Grup Subnet DB Instans DB saya?
Grup Subnet DB yang sudah ada dapat diperbarui untuk menambah subnet, baik untuk Zona Ketersediaan yang sudah ada maupun Zona Ketersediaan baru yang ditambahkan sejak pembuatan Instans DB. Menghapus subnet dari Grup Subnet DB yang sudah ada dapat membuat instans menjadi tidak tersedia jika instans tersebut berjalan di AZ tertentu yang dihapus dari grup subnet. Lihat Panduan Pengguna Amazon RDS untuk informasi selengkapnya.
Apa yang dimaksud dengan akun pengguna primer Amazon RDS dan apa perbedaannya dengan akun AWS?
Untuk mulai menggunakan Amazon RDS Anda akan memerlukan akun developer AWS. Jika Anda tidak memiliki akun sebelum daftar ke Amazon RDS, Anda akan diminta untuk membuat akun ketika Anda memulai proses pendaftaran. Akun pengguna primer berbeda dari akun developer AWS dan digunakan hanya dalam konteks Amazon RDS untuk mengontrol akses ke Instans DB Anda. Akun pengguna primer adalah akun pengguna basis data asli yang dapat Anda gunakan untuk terhubung ke Instans DB Anda.
Anda dapat menentukan nama pengguna primer dan kata sandi yang ingin Anda kaitkan dengan masing-masing Instans DB ketika Anda membuat Instans DB. Setelah Anda membuat Instans DB, Anda dapat terhubung ke basis data menggunakan kredensial pengguna primer. Kemudian, Anda mungkin juga ingin membuat akun pengguna tambahan sehingga Anda dapat membatasi siapa yang dapat mengakses Instans DB Anda.
Hak istimewa apa yang diberikan kepada pengguna primer untuk Instans DB saya?
Untuk MySQL, hak istimewa default untuk pengguna primer meliputi: opsi buat, drop, referensi, peristiwa, ubah, hapus, indeks, sisipkan, pilih, perbarui, buat tabel sementara, kunci tabel, memicu, buat tampilan, tampilkan tampilan, ubah rutinitas, buat rutinitas, eksekusi, picu, buat pengguna, proses, tunjukkan basis data, dan izinkan.
Untuk Oracle, pengguna primer diberikan peran "dba". Pengguna primer menerima sebagian besar hak istimewa yang terkait dengan peran tersebut. Harap lihat Panduan Pengguna Amazon RDS untuk daftar hak istimewa terbatas dan alternatif terkait untuk melakukan tugas administratif yang mungkin memerlukan hak istimewa ini.
Untuk SQL Server, pengguna yang membuat database diberikan peran "db_owner". Harap lihat Panduan Pengguna Amazon RDS untuk daftar hak istimewa terbatas dan alternatif yang sesuai untuk melakukan tugas administratif yang mungkin memerlukan hak istimewa ini.
Apakah ada perbedaan dalam hal manajemen pengguna dengan Amazon RDS?
Tidak, semuanya bekerja dengan cara yang sudah Anda ketahui saat menggunakan basis data relasional yang Anda kelola sendiri.
Apakah program yang berjalan di server pusat data saya dapat mengakses basis data Amazon RDS?
Ya. Anda harus dengan sengaja mengaktifkan kemampuan untuk mengakses database Anda melalui internet dengan mengonfigurasi Grup Keamanan Anda dapat melakukan otorisasi akses hanya untuk IP, rentang IP, atau subnet tertentu yang terkait dengan server di pusat data Anda sendiri.
Apakah saya dapat mengenkripsi koneksi antara aplikasi saya dan Instans DB saya menggunakan SSL/TLS?
Ya, opsi ini didukung untuk semua mesin Amazon RDS. Amazon RDS membuat sertifikat SSL/TLS untuk setiap Instans DB. Setelah koneksi terenkripsi terjalin, data yang ditransfer antara Instans DB dan aplikasi Anda akan dienkripsi selama transfer. Walau SSL menawarkan manfaat keamanan, perlu diketahui bahwa enkripsi SSL/TLS merupakan operasi komputasi yang intensif dan akan meningkatkan latensi koneksi database Anda. Dukungan SSL/TLS dalam Amazon RDS adalah untuk mengenkripsi koneksi antara aplikasi dan Instans DB Anda sehingga tidak boleh diandalkan untuk mengautentikasi Instans DB itu sendiri.
Untuk detail pembuatan koneksi yang terenkripsi dengan Amazon RDS, harap kunjungi Panduan Pengguna MySQL, Panduan Pengguna MariaDB,Panduan Pengguna PostgreSQL, atau Panduan Pengguna Oracle Amazon RDS.
Apakah saya dapat mengenkripsi data diam di basis data Amazon RDS saya?
Amazon RDS mendukung enkripsi diam untuk semua mesin basis data, menggunakan kunci yang Anda kelola menggunakan AWS Key Management Service (KMS). Pada instans database yang berjalan dengan enkripsi Amazon RDS, data yang disimpan saat istirahat di penyimpanan dasar dienkripsi, begitu juga cadangan otomatis, replika baca, dan snapshotnya. Enkripsi dan dekripsi ditangani secara transparan. Untuk informasi selengkapnya mengenai penggunaan KMS dengan Amazon RDS, lihat Panduan Pengguna Amazon RDS.
Anda juga dapat menambahkan enkripsi ke instans DB atau klaster DB yang sebelumnya tidak terenkripsi dengan membuat snapshot DB, lalu membuat salinan snapshot tersebut dan menentukan kunci enkripsi KMS. Kemudian Anda dapat mengembalikan instans DB atau klaster DB yang terenkripsi menggunakan snapshot terenkripsi.
Amazon RDS for Oracle dan SQL Server mendukung teknologi Enkripsi Data Transparan (TDE) dari mesin tersebut. Untuk informasi selengkapnya, lihat Panduan Pengguna Amazon RDS untuk Oracle dan SQL Server.
T: Apakah saya dapat mengintegrasikan basis data Amazon RDS for Oracle dengan AWS CloudHSM?
Tidak, instans Oracle di Amazon RDS tidak dapat diintegrasikan dengan AWS CloudHSM. Untuk menggunakan enkripsi data transparan (TDE) dengan AWS CloudHSM, basis data Oracle harus diinstal di Amazon EC2.
Bagaimana cara mengontrol tindakan yang dapat dilakukan oleh sistem dan pengguna saya pada sumber daya Amazon RDS tertentu?
Anda dapat mengontrol tindakan yang dapat dilakukan oleh pengguna dan grup AWS IAM pada sumber daya Amazon RDS. Hal ini dapat dilakukan dengan mereferensikan sumber daya Amazon RDS di kebijakan AWS IAM yang Anda terapkan ke pengguna dan grup Anda. Sumber daya Amazon RDS yang dapat direferensikan dalam kebijakan AWS IAM meliputi instans DB, snapshot DB, replika baca, grup keamanan DB, grup opsi DB, grup parameter DB, langganan peristiwa, dan grup subnet DB.
Selain itu, Anda dapat memberi tanda pada sumber daya ini untuk menambahkan metadata tambahan ke sumber daya Anda. Dengan menggunakan tag, Anda dapat mengategorikan sumber daya (misalnya, Instans DB "Pengembangan", Instans DB "Produksi", dan Instans DB "Uji"), serta menulis kebijakan AWS IAM yang mencantumkan izin (yaitu tindakan) yang dapat diambil untuk sumber daya dengan tanda yang sama. Untuk informasi selengkapnya, lihat Penandaan Sumber Daya Amazon RDS.
Saya ingin melakukan analisis keamanan atau pemecahan masalah operasional pada deployment Amazon RDS saya. Apakah saya bisa mendapatkan riwayat semua panggilan API Amazon RDS yang dibuat di akun saya?
Ya. AWS CloudTrail adalah layanan web yang merekam panggilan API AWS untuk akun Anda dan mengirimkan file log kepada Anda. Riwayat panggilan API AWS yang dihasilkan oleh CloudTrail memungkinkan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan.
Apakah saya dapat menggunakan Amazon RDS dengan aplikasi yang memerlukan kepatuhan HIPAA?
Ya, semua mesin basis data Amazon RDS memenuhi syarat HIPAA sehingga Anda dapat menggunakannya untuk membuat aplikasi yang mematuhi HIPAA dan menyimpan informasi yang berhubungan pemeliharaan kesehatan, termasuk informasi kesehatan yang dilindungi (PHI) di berdasarkan Perjanjian Rekan Bisnis (BAA) dengan AWS.
Jika Anda memiliki BAA yang telah dijalankan, tidak ada tindakan yang perlu dilakukan untuk mulai menggunakan layanan ini di akun yang dicakup oleh BAA Anda. Jika Anda tidak memiliki BAA yang telah dijalankan dengan AWS, atau memiliki pertanyaan lain tentang aplikasi yang mematuhi HIPAA di AWS, silakan hubungi kami
manajer akun Anda.
