การรักษาความปลอดภัยของ Amazon RDS

เข้ารหัสการสื่อสารระหว่างแอปพลิเคชันและอินสแตนซ์ฐานข้อมูล (DB) ของคุณโดยใช้ SSL/TLS Amazon RDS จะสร้างใบรับรอง SSL และติดตั้งใบรับรองนั้นบนอินสแตนซ์ฐานข้อมูล (DB) เมื่อมีการจัดเตรียมอินสแตนซ์ สําหรับ MySQL คุณเปิดไคลเอนต์ mysql โดยใช้พารามิเตอร์ --ssl_ca เพื่ออ้างอิงคีย์สาธารณะเพื่อเข้ารหัสการเชื่อมต่อ สําหรับ SQL Server ให้ดาวน์โหลดคีย์สาธารณะและนําเข้าใบรับรองลงในระบบปฏิบัติการ Windows ของคุณ RDS สําหรับ Oracle ใช้การเข้ารหัสเครือข่ายแบบเนทีฟของ Oracle กับอินสแตนซ์ DB คุณเพียงแค่เพิ่มตัวเลือกการเข้ารหัสเครือข่ายดั้งเดิมลงในกลุ่มตัวเลือกและเชื่อมโยงกลุ่มตัวเลือกนั้นกับอินสแตนซ์ DB เมื่อมีการเชื่อมต่อที่เข้ารหัสแล้ว ข้อมูลที่ถ่ายโอนระหว่างอินสแตนซ์ DB และแอปพลิเคชันของคุณจะได้รับการเข้ารหัสระหว่างการถ่ายโอน คุณยังสามารถกําหนดให้อินสแตนซ์ DB ของคุณยอมรับเฉพาะการเชื่อมต่อที่เข้ารหัสเท่านั้นได้อีกด้วย

Amazon RDS ผสานรวมกับ AWS Identity and Access Management (IAM) และช่วยให้คุณสามารถควบคุมการกระทำที่ผู้ใช้ IAM และกลุ่ม AWS สามารถดำเนินการกับทรัพยากรเฉพาะ (เช่น อินสแตนซ์ DB, สแนปช็อต DB, กลุ่มพารามิเตอร์ DB, การสมัครรับข้อมูลกิจกรรม DB และ กลุ่มตัวเลือก DB) นอกจากนี้ คุณสามารถแท็กทรัพยากรของคุณและควบคุมการดำเนินการที่ผู้ใช้ IAM และกลุ่มของคุณสามารถดำเนินการกับกลุ่มทรัพยากรที่มีแท็กเดียวกัน (และค่าแท็ก) ดูข้อมูลเพิ่มเติมเกี่ยวกับการผสานการทำงาน IAM ได้ทีเอกสารประกอบการยืนยันตัวตนของฐานข้อมูล IAM

นอกจากนี้ คุณยังสามารถติดแท็กทรัพยากร Amazon RDS ของคุณและควบคุมการกระทำที่ผู้ใช้ IAM และกลุ่มของคุณสามารถทำได้กับกลุ่มของทรัพยากรที่มีแท็กเดียวกันและค่าที่เกี่ยวข้องได้ ตัวอย่างเช่น คุณสามารถกำหนดค่ากฎ IAM เพื่อให้มั่นใจว่า Developper สามารถแก้ไขอินสแตนซ์ฐานข้อมูล "การพัฒนา" ได้ แต่เฉพาะผู้ดูแลระบบฐานข้อมูลเท่านั้นที่สามารถทำการเปลี่ยนแปลงอินสแตนซ์ฐานข้อมูล "การผลิต" ได้

เมื่อคุณสร้างอินสแตนซ์ DB ภายใน Amazon RDS เป็นครั้งแรก คุณจะสร้างบัญชีผู้ใช้หลัก ซึ่งใช้เฉพาะภายใต้บริบทของ Amazon RDS เพื่อควบคุมการเข้าถึงอินสแตนซ์ DB ของคุณเท่านั้น บัญชีผู้ใช้หลักคือบัญชีผู้ใช้ฐานข้อมูลแบบเนทิฟที่อนุญาตให้คุณเข้าสู่ระบบอินสแตนซ์ DB ของคุณด้วยสิทธิ์ฐานข้อมูลทั้งหมด คุณสามารถระบุชื่อผู้ใช้หลักและรหัสผ่านที่คุณต้องการเชื่อมโยงกับอินสแตนซ์ DB แต่ละรายการเมื่อคุณสร้างอินสแตนซ์ DB ได้ เมื่อคุณสร้างอินสแตนซ์ DB ของคุณแล้ว คุณสามารถเชื่อมต่อกับฐานข้อมูลโดยใช้ข้อมูลประจำตัวของผู้ใช้หลัก จากนั้น คุณสามารถสร้างบัญชีผู้ใช้เพิ่มเติมเพื่อให้คุณสามารถจำกัดบุคคลที่สามารถเข้าถึงอินสแตนซ์ DB ของคุณได้อีกด้วย

หากใช้ Amazon Virtual Private Cloud (VPC) คุณสามารถแยกอินสแตนซ์ DB ของคุณในเครือข่ายเสมือนของคุณเอง และเชื่อมต่อกับโครงสร้างพื้นฐาน IT โดยใช้ IPSec VPN ที่มีการเข้ารหัสตามมาตรฐานอุตสาหกรรม

Amazon VPC ช่วยให้คุณสามารถแยกอินสแตนซ์ DB ของคุณได้โดยระบุช่วง IP ที่คุณต้องการใช้และเชื่อมต่อกับโครงสร้างพื้นฐานไอทีที่มีอยู่ผ่าน IPsec VPN ที่เข้ารหัสตามมาตรฐานอุตสาหกรรม การเรียกใช้ Amazon RDS ใน VPC ช่วยให้คุณมีอินสแตนซ์ DB ภายในซับเน็ตส่วนตัวได้ คุณยังสามารถตั้งค่าเกตเวย์ส่วนตัวแบบเสมือนที่จะขยายเครือข่ายองค์กรของคุณไปยัง VPC ของคุณ และอนุญาตให้เข้าถึงอินสแตนซ์ Amazon RDS DB ใน VPC นั้นได้ โปรดดูคู่มือผู้ใช้ Amazon VPC สำหรับข้อมูลเพิ่มเติม อินสแตนซ์ DB ที่ปรับใช้ภายใน Amazon VPC สามารถเข้าถึงได้จากอินเทอร์เน็ตหรือจากอินสแตนซ์ Amazon EC2 ภายนอก VPC ผ่าน VPN หรือโฮสต์ Bastion ที่คุณสามารถเปิดใช้ในซับเน็ตสาธารณะของคุณ หากต้องการใช้โฮสต์ Bastion คุณจะต้องตั้งค่าซับเน็ตสาธารณะที่มีอินสแตนซ์ EC2 ที่ทำหน้าที่เป็น SSH Bastion ซับเน็ตสาธารณะนี้ต้องมีอินเทอร์เน็ตเกตเวย์และกฎการกำหนดเส้นทางที่อนุญาตให้มีการรับส่งข้อมูลผ่านโฮสต์ SSH ซึ่งจะต้องส่งต่อคำขอไปยังที่อยู่ IP ส่วนตัวของอินสแตนซ์ Amazon RDS DB ของคุณ คุณสามารถใช้กลุ่มมาตรการรักษาความปลอดภัย DB เพื่อช่วยรักษาความปลอดภัยอินสแตนซ์ DB ภายใน Amazon VPC ได้ นอกจากนี้ การรับส่งข้อมูลเครือข่ายเข้าและออกจากแต่ซับเน็ตสามารถอนุญาตหรือปฏิเสธผ่าน ACL เครือข่ายได้ การรับส่งข้อมูลเครือข่ายทั้งหมดที่เข้าหรือออกจาก Amazon VPC ของคุณผ่านการเชื่อมต่อ IPsec VPN ของคุณสามารถตรวจสอบได้โดยโครงสร้างพื้นฐานด้านความปลอดภัยในองค์กรของคุณ รวมถึงไฟร์วอลล์เครือข่ายและระบบตรวจจับการบุกรุก

นอกเหนือจากภัยคุกคามความปลอดภัยภายนอก การจัดการฐานข้อมูลจําเป็นต้องมีการป้องกันความเสี่ยงภายในจากผู้ดูแลระบบฐานข้อมูล (DBA) สตรีมกิจกรรมฐานข้อมูล ซึ่งปัจจุบันรองรับ Amazon Aurora และ Amazon RDS สำหรับ Oracle จะให้ Data Stream กิจกรรมฐานข้อมูลในฐานข้อมูลแบบเชิงสัมพันธ์ของคุณแบบเรียลไทม์ เมื่อรวมเข้ากับเครื่องมือตรวจสอบกิจกรรมฐานข้อมูลของบุคคลที่สาม คุณสามารถตรวจสอบกิจกรรมฐานข้อมูลเพื่อป้องกันฐานข้อมูลของคุณและเป็นไปตามข้อกําหนดและข้อบังคับที่วางไว้

สตรีมกิจกรรมฐานข้อมูลจะปกป้องฐานข้อมูลของคุณจากภัยคุกคามภายในโดยใช้รูปแบบการป้องกันที่ควบคุมการเข้าถึง DBA ไปยังสตรีมกิจกรรมฐานข้อมูล ดังนั้นการรวบรวม การส่งการจัดเก็บ และการประมวลผลที่ตามมาของสตรีมกิจกรรมฐานข้อมูลจึงอยู่นอกเหนือการเข้าถึง DBAs ที่จัดการฐานข้อมูล

สตรีมจะถูกพุชไปยัง Amazon Kinesis Data Stream ที่สร้างขึ้นในนามของฐานข้อมูลของคุณ สตรีมกิจกรรมฐานข้อมูลสามารถถูกใช้งานโดย Amazon CloudWatch หรือโดยแอปพลิเคชันคู่ค้าเพื่อจัดการให้การปฏิบัติเป็นตามข้อกําหนด เช่น IBM Security Guardium โดยผ่านทาง Kinesis Data Firehose แอปพลิเคชันคู่ค้าเหล่านี้สามารถใช้ข้อมูลสตรีมกิจกรรมฐานข้อมูลเพื่อสร้างการแจ้งเตือนและให้การตรวจสอบกิจกรรมทั้งหมดบนฐานข้อมูล Amazon Aurora ของคุณได้

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับการใช้สตรีมกิจกรรมฐานข้อมูลสําหรับ Aurora รุ่นที่เข้ากันได้กับ PostgreSQL และ MySQL ได้ใน หน้าเอกสารประกอบ และสําหรับ Amazon RDS สำหรับ Oracle ใน หน้าเอกสารประกอบ

Amazon RDS มุ่งมั่นที่จะนําเสนอกรอบการปฏิบัติตามข้อกําหนดที่แข็งแกร่งรวมถึงเครื่องมือขั้นสูงและมาตรการรักษาความปลอดภัยที่ลูกค้าสามารถใช้เพื่อประเมิน ตอบสนอง และแสดงให้เห็นถึงการปฏิบัติตามข้อกําหนดทางกฎหมายและข้อบังคับที่บังคับใช้ ลูกค้าควรตรวจสอบรูปแบบความรับผิดชอบร่วมกันของ AWS และแมปความรับผิดชอบของ Amazon RDS และความรับผิดชอบของลูกค้า ลูกค้ายังสามารถใช้ AWS Artifact เพื่อเข้าถึงรายงานการตรวจสอบของ RDS และดําเนินการประเมินความรับผิดชอบในการควบคุม

โปรดดูข้อมูลเพิ่มเติมใน หน้าการปฏิบัติตามข้อกำหนดของ AWS

Amazon RDS ให้ คำแนะนำแนวทางปฏิบัติที่ดีที่สุด โดยวิเคราะห์การกำหนดค่าและตัววัดการใช้งานจากอินสแตนซ์ฐานข้อมูลของคุณ คําแนะนําครอบคลุมด้านต่างๆ เช่น ความปลอดภัย การเข้ารหัส IAM และ VPC คุณสามารถเรียกดูคำแนะนำที่พร้อมใช้งานและดำเนินการตามที่แนะนำโดยทันที กำหนดระยะเวลาการบำรุงรักษาครั้งต่อไป หรือยกเลิกทั้งหมด

Amazon VPC ช่วยให้คุณสามารถสร้างสภาพแวดล้อมของระบบเครือข่ายเสมือนในส่วนแบบส่วนตัวที่แยกกันของ AWS Cloud ได้ ซึ่งคุณสามารถใช้การควบคุมด้านต่าง ๆ เช่น ช่วงที่อยู่ IP ส่วนตัว ซับเน็ต ตารางเส้นทาง และเกตเวย์เครือข่าย Amazon VPC ช่วยให้คุณสามารถกำหนดโครงสร้างเครือข่ายเสมือนและปรับแต่งการกำหนดค่าเครือข่ายให้คล้ายกับเครือข่าย IP แบบเดิมที่คุณอาจใช้งานได้ในศูนย์ข้อมูลของคุณเอง

วิธีหนึ่งที่คุณสามารถใช้ประโยชน์จาก VPC ได้คือเมื่อคุณต้องการเรียกใช้เว็บแอปพลิเคชันแบบสาธารณะในขณะที่ยังคงรักษาเซิร์ฟเวอร์แบ็กเอนด์ที่ไม่สามารถเข้าถึงได้แบบสาธารณะในซับเน็ตส่วนตัว คุณสามารถสร้างซับเน็ตแบบสาธารณะสำหรับเว็บเซิร์ฟเวอร์ของคุณที่มีการเข้าถึงอินเทอร์เน็ต และวางอินสแตนซ์ Amazon RDS DB แบบแบ็กเอนด์ของคุณในซับเน็ตแบบส่วนตัวโดยไม่มีการเข้าถึงอินเทอร์เน็ต สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Amazon VPC โปรดดู คู่มือผู้ใช้ Amazon Virtual Private Cloud

หากบัญชี AWS ของคุณถูกสร้างขึ้นก่อน 2013-12-04 คุณอาจใช้ Amazon RDS ในสภาพแวดล้อม Amazon Elastic Compute Cloud (EC2) Classic ได้ ฟังก์ชันการทำงานพื้นฐานของ Amazon RDS นั้นเหมือนกัน ไม่ว่าจะใช้ EC2-Classic หรือ EC2-VPC Amazon RDS จะจัดการกับการสำรองข้อมูล การแพตช์ซอฟต์แวร์ การตรวจหาความผิดพลาดโดยอัตโนมัติ แบบจำลองการอ่าน และการกู้คืน ไม่ว่าจะปรับใช้อินสแตนซ์ DB ของคุณภายในหรือภายนอก VPC สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความแตกต่างระหว่าง EC2-Classic และ EC2-VPC โปรดดู เอกสารประกอบ EC2

กลุ่มซับเน็ต DB คือชุดซับเน็ตที่คุณอาจต้องการกำหนดให้กับอินสแตนซ์ Amazon RDS DB ของคุณใน VPC กลุ่มซับเน็ต DB แต่ละกลุ่มควรมีซับเน็ตอย่างน้อยหนึ่งรายการสำหรับทุกๆ Availability Zone ในรีเจี้ยนที่กำหนด เมื่อสร้างอินสแตนซ์ DB ใน VPC คุณจะต้องเลือกกลุ่มเครือข่ายย่อย DB Amazon RDS ใช้กลุ่มเครือข่ายย่อย DB และ Availability Zone ที่คุณต้องการเพื่อเลือกกลุ่มเครือข่ายย่อยและที่อยู่ IP ภายในกลุ่มเครือข่ายย่อยนั้น Amazon RDS สร้างและเชื่อมโยงเครือข่ายแบบยืดหยุ่นเข้ากับอินสแตนซ์ DB ของคุณโดยใช้ที่อยู่ IP ดังกล่าว

โปรดทราบว่าเราขอแนะนำอย่างยิ่งให้คุณใช้ ชื่อ DNS เพื่อเชื่อมต่อกับอินสแตนซ์ DB ของคุณ เนื่องจากที่อยู่ IP พื้นฐานสามารถเปลี่ยนแปลงได้ (เช่น ระหว่างการใช้ระบบสำรองเพื่อกู้คืนข้อมูล)

สำหรับการใช้งานอินสแตนซ์แบบ Multi-AZ การกำหนดซับเน็ตสำหรับ Availability Zone ทั้งหมดในรีเจี้ยนจะช่วยให้ Amazon RDS สามารถสร้างสแตนด์บายใหม่ใน Availability Zone อื่นได้หากมีความจำเป็นเกิดขึ้น คุณต้องทำเช่นนี้แม้แต่กับการปรับใช้ AZ เดียว เพื่อเผื่อสำหรับกรณีที่คุณต้องการแปลงให้เป็นแบบหลาย AZ

หากต้องการทราบขั้นตอนที่นำคุณมาสู่กระบวนการนี้ โปรดดู การสร้างอินสแตนซ์ DB ใน VPC ในคู่มือผู้ใช้ Amazon RDS

ไปที่ส่วน กลุ่มมาตรการรักษาความปลอดภัย ของคู่มือผู้ใช้ Amazon RDS เพื่อเรียนรู้เกี่ยวกับวิธีต่าง ๆ ในการควบคุมการเข้าถึงอินสแตนซ์ DB ของคุณ

อินสแตนซ์ DB ที่ปรับใช้ภายใน VPC สามารถเข้าถึงได้โดย EC2 instance ที่ใช้งานใน VPC เดียวกัน หากอินสแตนซ์ EC2 เหล่านี้ถูกใช้งานในเครือข่ายย่อยสาธารณะที่มี Elastic IP ที่เกี่ยวข้อง คุณสามารถเข้าถึงอินสแตนซ์ EC2 ผ่านทางอินเทอร์เน็ตได้ อินสแตนซ์ DB ที่ปรับใช้ภายใน VPC สามารถเข้าถึงได้จากอินเทอร์เน็ตหรือจากอินสแตนซ์ EC2 ภายนอก VPC ผ่าน VPN หรือโฮสต์ Bastion ที่คุณสามารถเปิดใช้ในซับเน็ตสาธารณะของคุณหรือใช้ตัวเลือกที่เข้าถึงได้แบบสาธารณะของ Amazon RDS:

• หากต้องการใช้โฮสต์ Bastion คุณจะต้องตั้งค่าเครือข่ายย่อยสาธารณะที่มีอินสแตนซ์ EC2 ที่ทําหน้าที่เป็น SSH Bastion ซับเน็ตสาธารณะนี้ต้องมีอินเทอร์เน็ตเกตเวย์และกฎการกำหนดเส้นทางที่อนุญาตให้มีการรับส่งข้อมูลผ่านโฮสต์ SSH ซึ่งจะต้องส่งต่อคำขอไปยังที่อยู่ IP ส่วนตัวของอินสแตนซ์ Amazon RDS DB ของคุณ
• หากต้องการใช้การเชื่อมต่อแบบสาธารณะ เพียงสร้างอินสแตนซ์ DB ของคุณโดยตั้งค่าตัวเลือก Publicly Accessible เป็น “ใช่” เมื่อเปิด Publicly Accessible แล้ว ระบบจะสามารถเข้าถึงอินสแตนซ์ DB ใน VPC ได้อย่างสมบูรณ์ภายนอก VPC ตามค่าเริ่มต้น ซึ่งหมายความว่าคุณไม่จำเป็นต้องกำหนดค่า VPN หรือโฮสต์ Bฺastion เพื่อให้สามารถเข้าถึงอินสแตนซ์ของคุณได้ 

คุณยังสามารถตั้งค่าเกตเวย์ VPN ที่จะขยายเครือข่ายองค์กรของคุณไปยัง VPC ของคุณ และอนุญาตให้เข้าถึงอินสแตนซ์ Amazon RDS DB ใน VPC นั้นได้ โปรดดู คู่มือผู้ใช้ Amazon VPC สำหรับรายละเอียดเพิ่มเติม

เราขอแนะนำให้คุณใช้ชื่อ DNS เพื่อเชื่อมต่อกับอินสแตนซ์ DB ของคุณเป็นอย่างยิ่ง เนื่องจากที่อยู่ IP พื้นฐานสามารถเปลี่ยนแปลงได้ (เช่น ระหว่างเกิดข้อผิดพลาด)

หากอินสแตนซ์ DB ของคุณไม่อยู่ใน VPC คุณสามารถใช้ AWS Management Console เพื่อย้ายอินสแตนซ์ DB ของคุณไปยัง VPC ได้อย่างง่ายดาย โปรดดูรายละเอียดเพิ่มเติมใน คู่มือผู้ใช้ Amazon RDS นอกจากนี้คุณยังสามารถถ่ายภาพอินสแตนซ์ DB ของคุณภายนอก VPC และกู้คืนไปยัง VPC โดยระบุกลุ่มเครือข่ายย่อย DB ที่คุณต้องการใช้ หรือคุณสามารถดำเนินการ "กู้คืนไปยังจุดก่อนหน้า" เช่นกัน

ไม่รับรอง การย้ายอินสแตนซ์ DB จากภายในสู่ภายนอก VPC เนื่องจากเหตุผลด้านความปลอดภัย Database Snapshot ของอินสแตนซ์ DB ภายใน VPC จะไม่สามารถกู้คืนไปยัง VPC ภายนอกได้ เช่นเดียวกับฟังก์ชัน "กู้คืนในเวลาเดียว" 

คุณมีหน้าที่รับผิดชอบในการแก้ไขตารางเส้นทางและ ACL ของระบบเครือข่ายใน VPC ของคุณเพื่อให้แน่ใจว่าอินสแตนซ์ DB ของคุณสามารถเข้าถึงได้จากอินสแตนซ์ไคลเอ็นต์ของคุณใน VPC หลังจากการการใช้ระบบสำรองเพื่อกู้คืนข้อมูล ไคลเอนต์ของคุณเปลี่ยนระบบอินสแตนซ์ EC2 และอินสแตนซ์ Amazon RDS DB อาจอยู่ใน Availability Zone ที่แตกต่างกันสำหรับการใช้งานอินสแตนซ์แบบ Multi-AZ คุณควร กำหนดค่า ACL ของระบบเครือข่าย เพื่อให้แน่ใจว่าจะสามารถสื่อสารข้าม AZ ได้

คุณสามารถอัปเดตกลุ่มเครือข่ายย่อย DB ที่มีอยู่เพื่อเพิ่มเครือข่ายย่อยได้มากขึ้นสำหรับ Available Zone ที่มีอยู่หรือสำหรับ Availability Zone ใหม่ที่เพิ่มเข้ามาตั้งแต่สร้างอินสแตนซ์ DB การลบซับเน็ตจากกลุ่มซับเน็ต DB ที่มีอยู่ อาจทำให้ไม่สามารถใช้อินสแตนซ์ได้ถ้ากำลังใช้งานอยู่ใน AZ เฉพาะที่ถูกลบออกจากกลุ่มซับเน็ต คุณสามารถดูข้อมูลเพิ่มเติมได้ใน คู่มือผู้ใช้ Amazon RDS

หากต้องการเริ่มใช้ Amazon RDS คุณจะต้องมีบัญชีนักพัฒนา AWS หากคุณยังไม่มีบัญชีก่อนลงชื่อสมัครใช้ Amazon RDS คุณจะได้รับการแจ้งเตือนให้สร้างบัญชีดังกล่าวเมื่อคุณเริ่มขั้นตอนการลงชื่อสมัครใช้ บัญชีผู้ใช้หลักแตกต่างจากบัญชีนักพัฒนา AWS และใช้เฉพาะภายในบริบทของ Amazon RDS เพื่อควบคุมการเข้าถึงอินสแตนซ์ DB ของคุณเท่านั้น บัญชีผู้ใช้หลักคือบัญชีผู้ใช้ฐานข้อมูลภายในระบบที่คุณสามารถใช้เพื่อเชื่อมต่อกับอินสแตนซ์ DB ของคุณได้ 

คุณสามารถระบุชื่อผู้ใช้หลักและรหัสผ่านที่คุณต้องการเชื่อมโยงกับอินสแตนซ์ DB แต่ละรายการเมื่อคุณสร้างอินสแตนซ์ DB ได้ เมื่อคุณสร้างอินสแตนซ์ DB ของคุณแล้ว คุณสามารถเชื่อมต่อกับฐานข้อมูลโดยใช้ข้อมูลประจำตัวของผู้ใช้หลัก จากนั้นคุณอาจต้องการสร้างบัญชีผู้ใช้เพิ่มเติมเพื่อให้คุณสามารถจำกัดบุคคลที่สามารถเข้าถึงอินสแตนซ์ DB ได้

สำหรับ MySQL สิทธิ์เริ่มต้นสำหรับผู้ใช้หลัก ได้แก่ สร้าง วาง อ้างอิง เหตุการณ์ เปลี่ยนแปลง ลบ ดัชนี แทรก เลือก อัปเดต สร้างตารางชั่วคราว ล็อกตาราง เรียกใช้ สร้างมุมมอง แสดงมุมมอง เปลี่ยนแปลงงานประจำ สร้างงานประจำ ดำเนินการ เรียกใช้ สร้างผู้ใช้ ประมวลผล แสดงฐานข้อมูล ให้ตัวเลือก

สำหรับ Oracle ผู้ใช้หลักจะได้รับบทบาท “dba” ผู้ใช้หลักจะรับช่วงสิทธิ์ส่วนใหญ่ที่เกี่ยวข้องกับบทบาท โปรดดู คู่มือผู้ใช้ Amazon RDS สำหรับรายการของสิทธิ์ที่จำกัดและทางเลือกที่สอดคล้องกันในการดำเนินงานด้านการดูแลระบบที่อาจต้องใช้สิทธิ์เหล่านี้

สำหรับ SQL Server ผู้ใช้ที่สร้างฐานข้อมูลจะได้รับบทบาท "db_owner" โปรดดู คู่มือผู้ใช้ Amazon RDS สำหรับรายการของสิทธิ์ที่จำกัดและทางเลือกที่สอดคล้องกันในการดำเนินงานด้านการดูแลระบบที่อาจต้องใช้สิทธิ์เหล่านี้

ไม่มี ทุกอย่างทำงานตามที่คุณคุ้นเคยเมื่อใช้ฐานข้อมูลเชิงสัมพันธ์ที่คุณจัดการด้วยตนเอง

ใช่ คุณต้องเปิดความสามารถในการเข้าถึงฐานข้อมูลของคุณทางอินเทอร์เน็ตโดยกำหนดค่า กลุ่มมาตรการรักษาความปลอดภัย คุณสามารถอนุญาตการเข้าถึง IP เฉพาะเจาะจง, ช่วง IP หรือเครือข่ายย่อยที่ตรงกับเซิร์ฟเวอร์ในศูนย์ข้อมูลของคุณเอง

ได้ ตัวเลือกนี้ได้รับการรองรับบนกลไก Amazon RDS ทั้งหมด Amazon RDS จะ สร้างใบรับรอง SSL/TLS สำหรับแต่ละอินสแตนซ์ DB เมื่อมีการเชื่อมต่อที่เข้ารหัสแล้ว ข้อมูลที่ถ่ายโอนระหว่างอินสแตนซ์ DB และแอปพลิเคชันของคุณจะได้รับการเข้ารหัสระหว่างการถ่ายโอน ในขณะที่ SSL มีประโยชน์ด้านความปลอดภัย โปรดทราบว่าการเข้ารหัส SSL/TLS คือการดำเนินงานที่ใช้การประมวลผลสูงและจะเพิ่มเวลาในการเชื่อมต่อฐานข้อมูลของคุณ การรองรับ SSL/TLS ใน Amazon RDS มีไว้สำหรับการเข้ารหัสการเชื่อมต่อระหว่างแอปพลิเคชันกับอินสแตนซ์ DB ของคุณ คุณไม่ควรใช้สำหรับการยืนยันความถูกต้องของอินสแตนซ์ DB

หากต้องการดูรายละเอียดเกี่ยวกับการสร้างการเชื่อมต่อที่เข้ารหัสด้วย Amazon RDS โปรดไปที่คู่มือผู้ใช้ MySQL คู่มือผู้ใช้ MariaDB คู่มือผู้ใช้ PostgreSQL หรือคู่มือผู้ใช้ Oracle

Amazon RDS รองรับการเข้ารหัสขณะพักอยู่สำหรับเครื่องมือฐานข้อมูลทั้งหมดโดยใช้คีย์ที่คุณจัดการโดยใช้ AWS Key Management Service (KMS) ในอินสแตนซ์ฐานข้อมูลที่ใช้งานกับการเข้ารหัส Amazon RDS ข้อมูลที่จัดเก็บอยู่ในพื้นที่จัดเก็บข้อมูลพื้นฐานจะถูกเข้ารหัส เช่นเดียวกับข้อมูลสำรองอัตโนมัติ, Read Replica และ Snapshot การเข้ารหัสและถอดรหัสได้รับการจัดการอย่างโปร่งใส หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ KMS กับ Amazon RDS โปรดดู คู่มือผู้ใช้ Amazon RDS

คุณยังสามารถเพิ่มการเข้ารหัสไปยังอินสแตนซ์ DB หรือคลัสเตอร์ DB ที่ไม่ได้เข้ารหัสก่อนหน้านี้ได้ด้วยการสร้างสแน็ปช็อต DB จากนั้นสร้างสำเนาของสแน็ปช็อตนั้นและระบุคีย์การเข้ารหัส KMS จากนั้นคุณสามารถกู้คืนอินสแตนซ์ DB หรือคลัสเตอร์ DB ที่เข้ารหัสจาก Snapshot ที่เข้ารหัส

Amazon RDS สำหรับ Oracle และ SQL Server รองรับเทคโนโลยี การเข้ารหัสข้อมูลที่โปร่งใส (TDE) ของกลไกเหล่านั้น หากต้องการดูข้อมูลเพิ่มเติม โปรดดูคู่มือผู้ใช้ Amazon RDS for Oracle และ SQL Server

ไม่ได้ อินสแตนซ์ Oracle บน Amazon RDS ไม่สามารถผสานรวมกับ AWS CloudHSM ได้ เพื่อใช้การเข้ารหัสข้อมูลแบบโปร่งใส (TDE) กับ AWS CloudHSM คุณจําเป็นต้องติดตั้งฐานข้อมูล Oracle บน Amazon EC2

คุณสามารถควบคุมการดำเนินการที่ผู้ใช้ AWS IAM และกลุ่มของคุณสามารถดำเนินการกับทรัพยากร Amazon RDS ได้ คุณสามารถทำเช่นนี้ได้โดยอ้างอิงแหล่งข้อมูล Amazon RDS ใน นโยบาย AWS IAM ที่คุณปรับใช้กับผู้ใช้และกลุ่มของคุณ ทรัพยากร Amazon RDS ที่สามารถอ้างอิงได้ในนโยบาย IAM ของ AWS ประกอบด้วยอินสแตนซ์ DB, สแนปช็อต DB, แบบจำลองการอ่าน, กลุ่มมาตรการรักษาความปลอดภัย DB, กลุ่มตัวเลือก DB, กลุ่มพารามิเตอร์ DB, การสมัครรับข้อมูลกิจกรรม และกลุ่มซับเน็ต DB 

นอกจากนี้ คุณยังสามารถแท็กแหล่งข้อมูลเหล่านี้เพื่อเพิ่มเมตาดาต้าเพิ่มเติมลงในทรัพยากรของคุณ เมื่อใช้การแท็ก คุณสามารถจัดหมวดหมู่ทรัพยากรได้ (เช่น อินสแตนซ์ DB "การพัฒนา", อินสแตนซ์ DB "การผลิต" และอินสแตนซ์ DB "การทดสอบ") และเขียนนโยบาย AWS AIM ที่แสดงรายการสิทธิ์ (ซึ่งก็คือการดำเนินการ) ที่สามารถใช้ทรัพยากรที่มีแท็กเหมือนกันได้ สำหรับข้อมูลเพิ่มเติม โปรดดูที่ การติดแท็กทรัพยากร Amazon RDS

ใช่ AWS CloudTrail เป็นบริการทางเว็บที่จะบันทึกการเรียกใช้ AWS API ให้กับบัญชีของคุณและส่งไฟล์ข้อมูลบันทึกให้กับคุณ ประวัติการเรียกใช้ AWS API ที่สร้างโดย CloudTrail ช่วยให้สามารถดำเนินการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการตรวจสอบการปฏิบัติตามข้อกำหนดได้ 

ได้ กลไกฐานข้อมูล Amazon RDS ทั้งหมด มีคุณสมบัติตรงตาม HIPAA คุณจึงสามารถใช้สร้างแอปพลิเคชันที่ปฏิบัติตามข้อกำหนดของ HIPAA และจัดเก็บข้อมูลที่เกี่ยวข้องกับการดูแลสุขภาพได้ เช่น ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ภายใต้สัญญาผู้ร่วมธุรกิจ (BAA) ที่ดำเนินการกับ AWS

หากคุณมี BAA ที่ทำงานอยู่ ไม่จำเป็นต้องเริ่มใช้บริการเหล่านี้ในบัญชีที่ได้รับการคุ้มครองโดย BAA ของคุณ หากคุณไม่มี BAA ที่ทำงานอยู่กับ AWS หรือมีคำถามอื่นๆ เกี่ยวกับแอปพลิเคชันที่เป็นไปตาม HIPAA ใน AWS โปรดติดต่อเรา
ตัวจัดการบัญชีของคุณ