Amazon RDS Güvenliği
Amazon RDS, şunlar dahil olmak üzere arasından seçim yapabileceğiniz yedi tanıdık veri tabanı altyapısı sunan bir yönetilen ilişkisel veri tabanı hizmetidir: Amazon Aurora PostgreSQL Uyumlu Sürüm, Amazon Aurora MySQL Uyumlu Sürüm, PostgreSQL İçin RDS, MySQL İçin RDS, MariaDB için RDS, SQL Server İçin RDS, Oracle İçin RDS ve Db2 İçin RDS.
Amazon RDS ve Amazon Aurora, verilerinizin güvenli bir şekilde saklanmasını ve bunlara güvenli erişimi sağlamak için bir dizi özellik sunar. Ağ düzeyinde yalıtım için veri tabanınızı Amazon Sanal Özel Bulut'ta (VPC) çalıştırın. Hangi IP adreslerinin veya Amazon EC2 bulut sunucularının veri tabanlarınıza bağlanabileceğini denetlemek için güvenlik gruplarını kullanın. Bu yerleşik güvenlik duvarı, belirttiğiniz kurallar dışında herhangi bir veri tabanı erişimini engeller.
Amazon RDS kaynaklarını kimlerin yönetmesine izin verileceğini belirleyen izinler atamak için AWS Kimlik ve Erişim Yönetimi (IAM) politikalarını kullanın. Tıpkı veri tabanı yerel ağınızda olsaydı yapacağınız gibi, veri tabanlarında kimlerin oturum açabileceğini kontrol etmek için veri tabanı altyapınızın güvenlik özelliklerini kullanın. Federe erişim için, veri tabanı kullanıcılarını IAM rollerine de eşleyebilirsiniz.
Taşınan verileri şifrelemek için Güvenli Yuva Katmanı/Aktarım Katmanı Güvenliği (SSL/TLS) bağlantılarını kullanın. Amazon Anahtar Yönetimi Hizmeti'ni (KMS) kullanarak veri tabanı depolama alanınızı ve bekleyen yedeklerinizi şifreleyin. Veri Tabanı Etkinlik Akışları ile veri tabanı etkinliğini izleyin ve çözüm ortağı veri tabanı güvenlik uygulamalarıyla entegrasyon sağlayın.
Bekleyen Verilerin Şifrelenmesi
Amazon RDS, AWS Anahtar Yönetim Hizmeti (KMS) ile yönettiğiniz anahtarları kullanarak veri tabanlarınızı şifreler. Amazon RDS şifrelemesiyle çalışan bir veri tabanı bulut sunucusunda, temel depolamada bekleyen verilerin yanı sıra bunun otomatik yedekleri, okuma replikaları ve anlık yedekleri şifrelenir. Amazon RDS şifrelemesi, Amazon RDS bulut sunucunuzu barındıran sunucudaki verilerinizi şifrelemek için sektör standardı AES-256 şifreleme algoritmasını kullanır.
Amazon RDS ayrıca SQL Server İçin Şeffaf Veri Şifreleme (TDE) (SQL Server Enterprise Edition ve Standard Edition) ve Oracle'ı (Oracle Enterprise Edition'da Oracle Advanced Security seçeneği) destekler. TDE ile veri tabanı sunucusu, verileri depolama alanına yazılmadan önce otomatik olarak şifreler ve depolama alanından okunduğunda verilerin şifresini otomatik olarak çözer.
Amazon RDS, veri tabanı bulut sunucunuzun yapılandırmasını ve kullanım ölçümlerini analiz ederek en iyi uygulama önerilerinde bulunur. Öneriler güvenlik, şifreleme, IAM ve VPC gibi alanları kapsar. Kullanılabilir durumdaki önerilere göz atıp önerilen eylemleri anında gerçekleştirebilir, bir sonraki bakım aralığı için zamanlayabilir veya tamamen reddedebilirsiniz.
Taşınan Verilerin Şifrelenmesi
Uygulamanız ve veri tabanı bulut sunucunuz arasındaki iletişimi SSL/TLS kullanarak şifreleyin. Amazon RDS bir SSL sertifikası oluşturur ve bulut sunucusu tedarik edildiğinde sertifikayı veri tabanı bulut sunucusuna yükler. MySQL'de, bağlantıları şifrelemek için genel anahtara başvurmak üzere --ssl_ca parametresini kullanarak mysql istemcisini başlatırsınız. SQL Server için, genel anahtarı indirin ve sertifikayı Windows işletim sisteminize içeri aktarın. Oracle İçin RDS, bir veri tabanı bulut sunucusu ile Oracle yerel ağ şifrelemesini kullanır. Yerel ağ şifreleme seçeneğini bir seçenek grubuna eklemeniz ve bu seçenek grubunu veri tabanı bulut sunucusuyla ilişkilendirmeniz yeterlidir. Şifrelenmiş bir bağlantı kurulduktan sonra veri tabanı bulut sunucusu ile uygulamanız arasında aktarılan veriler, aktarım sırasında şifrelenir. Veri tabanı bulut sunucunuzun yalnızca şifrelenmiş bağlantıları kabul etmesini de isteyebilirsiniz.
Erişim Denetimi
Amazon RDS, AWS Kimlik ve Erişim Yönetimi (IAM) hizmetine entegredir ve AWS IAM kullanıcılarınızın ve gruplarınızın belirli kaynaklar üzerinde (ör. Veri Tabanı Bulut Sunucuları, Veri Tabanı Anlık Yedekleri, Veri Tabanı Parametre Grupları, Veri Tabanı Etkinlik Abonelikleri ve Veri Tabanı Seçenek Grupları) gerçekleştirebileceği eylemleri denetleme yeteneği sunar. Ayrıca, kaynaklarınızı etiketleyerek IAM kullanıcılarınız ve gruplarınızın aynı etikete (ve etiket değerine) sahip olan kaynak gruplarında gerçekleştirebileceği eylemleri denetleyebilirsiniz. IAM entegrasyonu hakkında daha fazla bilgi için IAM Veri Tabanı Kimlik Doğrulama belgelerine bakın.
Ayrıca, Amazon RDS kaynaklarınızı etiketleyerek IAM kullanıcılarınızın ve gruplarınızın aynı etikete ve ilişkili değere sahip olan kaynak gruplarında gerçekleştirebileceği eylemleri denetleyebilirsiniz. Örneğin, IAM kurallarınızı yazılım geliştiricilerin "Geliştirme" veri tabanı bulut sunucularını değiştirebilmesini ancak "Üretim" veri tabanı bulut sunucularında yalnızca Veri Tabanı Yöneticilerinin değişiklik yapabilmesini sağlayacak şekilde yapılandırabilirsiniz.
Amazon RDS içinde bir veri tabanı bulut sunucusunu ilk oluşturduğunuzda, veri tabanı bulut sunucularınıza erişimi denetlemek için yalnızca Amazon RDS bağlamında kullanılan bir birincil kullanıcı hesabı oluşturursunuz. Birincil kullanıcı hesabı, veri tabanı bulut sunucunuzda tüm veri tabanı ayrıcalıklarıyla oturum açmanıza olanak tanıyan yerel bir veri tabanı kullanıcı hesabıdır. Veri tabanı bulut sunucusunu oluştururken her veri tabanı bulut sunucusu ile ilişkilendirilmesini istediğiniz birincil kullanıcı adını ve parolayı belirtebilirsiniz. Veri tabanı bulut sunucunuzu oluşturduktan sonra birincil kullanıcı kimlik bilgilerini kullanarak veri tabanına bağlanabilirsiniz. Bunun ardından, veri tabanı bulut sunucunuza erişebilecek kişileri kısıtlayabilmeniz için ek kullanıcı hesapları oluşturabilirsiniz.
Ağ Yalıtımı ve Veri Tabanı Güvenlik Duvarı
Amazon Sanal Özel Bulut'u (VPC) kullanarak veri tabanı bulut sunucularınızı kendi sanal ağınızda yalıtabilir ve mevcut BT altyapınıza sektör standardı şifrelenmiş IPSec VPN ile bağlayabilirsiniz.
Amazon VPC, kullanmak istediğiniz IP aralığını belirterek veri tabanı bulut sunucularınızı yalıtmanıza ve sektör standardı şifreli IPSec VPN aracılığıyla mevcut BT altyapınıza bağlanmanıza olanak tanır. Amazon RDS'yi bir VPC'de çalıştırmak, özel bir alt ağ içinde bir veri tabanı bulut sunucusuna sahip olmanızı sağlar. Ayrıca, kurumsal ağınızı VPC'nize genişleten ve bu VPC'deki Amazon RDS veri tabanı bulut sunucusuna erişime izin veren bir sanal özel ağ geçidi de ayarlayabilirsiniz. Daha fazla bilgi edinmek için Amazon VPC Kullanıcı Kılavuzu'na başvurun. Bir Amazon VPC içinde dağıtılan veri tabanı bulut sunucularına internetten veya VPC dışındaki Amazon EC2 bulut sunucularından VPN ya da genel erişime açık alt ağınızda başlatabileceğiniz kale ana sunucuları aracılığıyla erişilebilir. Bir kale ana sunucusu kullanmak için SSH Kalesi olarak görev yapacak bir EC2 bulut sunucusu içeren genel bir alt ağ ayarlamanız gerekir. Bu genel alt ağın bir internet ağ geçidi ve trafiğin SSH ana sunucusu üzerinden yönlendirilmesine imkan tanıyan yönlendirme kuralları olmalıdır. Bu ana sunucu da istekleri Amazon RDS veri tabanı bulut sunucunuzun özel IP adresine iletmelidir. Veri Tabanı Güvenlik Grupları, bir Amazon VPC içindeki veri tabanı bulut sunucularının güvenliğini sağlamaya yardımcı olmak için kullanılabilir. Ek olarak, her bir alt ağa giren ve çıkan ağ trafiğine ağ ACL'leri aracılığıyla izin verilebilir veya bunlar reddedilebilir. IPsec VPN bağlantınız aracılığıyla Amazon VPC'nize giren veya çıkan tüm ağ trafiği, ağ güvenlik duvarları ve izinsiz giriş algılama sistemleri dahil olmak üzere şirket içi güvenlik altyapınız tarafından denetlenebilir.
Veri Tabanı Etkinlik Akışları
Dış güvenlik tehditlerinin ötesinde, yönetilen veri tabanlarının veri tabanı yöneticileri (DBA'lar) ile ilgili olarak içeriden kaynaklanan risklere karşı koruma sağlaması gerekir. Mevcut durumda Amazon Aurora ve Oracle İçin Amazon RDS'ye yönelik olarak desteklenen Veri Tabanı Etkinlik Akışları, ilişkisel veri tabanınızdaki veri tabanı etkinliğinin gerçek zamanlı bir veri akışını sağlar. Üçüncü taraf veri tabanı etkinlik izleme araçlarıyla entegre edildiğinde, veri tabanınız için güvenlik önlemleri sağlamak, ayrıca uygunluk ve mevzuat gerekliliklerini karşılamak için veri tabanı etkinliğini izleyebilir ve denetleyebilirsiniz.
Veri Tabanı Etkinlik Akışları, veri tabanı etkinlik akışına DBA erişimini denetleyen bir koruma modeli uygulayarak veri tabanınızı dahili tehditlerden korur. Dolayısıyla, veri tabanı etkinlik akışının toplanması, iletilmesi, depolanması ve müteakip işlenmesi, veri tabanını yöneten DBA'ların erişiminin ötesindedir.
Akış, veri tabanınız adına oluşturulan bir Amazon Kinesis veri akışına iletilir. Kinesis Data Firehose'dan veri tabanı etkinlik akışı Amazon CloudWatch tarafından veya IBM Security Guardium gibi uygunluk yönetimine yönelik çözüm ortağı uygulamaları tarafından kullanılabilir. Bu çözüm ortağı uygulamaları, uyarılar oluşturmak ve Amazon Aurora veri tabanınızdaki tüm etkinliklerin denetlenmesini sağlamak için veri tabanı etkinlik akışı bilgilerini kullanabilir.
Aurora'nın PostgreSQL ve MySQL uyumlu sürümleri için Veri Tabanı Etkinlik Akışlarını kullanma hakkında daha fazla bilgiyi belgeler sayfasında ve Oracle İçin Amazon RDS hakkında daha fazla bilgiyi belgeler sayfasında bulabilirsiniz.
"Imperva veri koruması, AWS Veri Tabanı Etkinlik Akışı (DAS) olaylarından (ve diğer çeşitli AWS kaynaklarından) akışlar alır ve güçlü, amaca yönelik analizler aracılığıyla güvenlik bağlamı ekler. Imperva, güvenliği ihlal edilmiş hesapların ve dahili tehdit unsurlarının göstergesi olabilecek kötü amaçlı faaliyetleri, kaçak davranışları ve ayrıcalıkların kötüye kullanımını tespit eder. Ek avantajlar arasında etkileşimli veri keşfi, kullanıma hazır zengin otomasyon ve TCO'yu düşüren ve çoğu şirketin buluta geçerken karşılaştığı beceri boşluklarını kapatan çalışma kitapları aracılığıyla yerleşik yanıt yer almaktadır." — Dan Neault, SVP ve GM, Veri Güvenliği Birimi, Imperva.
Daha fazla bilgi edinmek için lütfen Imperva veri güvenliği sayfasını ziyaret edin.
"IBM Security® Guardium® Veri Koruması, veri tabanlarından büyük verilere, hibrit/buluta, dosya sistemlerine ve daha fazlasına kadar çok çeşitli ortamlarda kritik verilerin güvenliğini, gizliliğini ve bütünlüğünü sağlamaya yardımcı olur. AWS Veri Tabanı Etkinlik Akışları (DAS) ile entegrasyon sağlamaktan heyecan duyuyoruz. Bu entegrasyon, ortak müşterilerimize veri tabanı etkinliği konusunda neredeyse gerçek zamanlı görünürlük sunacak ve tehditleri hızlı bir şekilde tanımlamalarını ve hem şirket içi hem de bulut ortamlarında veri korumasına yönelik olarak tutarlı ve stratejik bir yaklaşım benimsemelerini sağlayacaktır." — Benazeer Daruwalla, Teklif Yöneticisi, Veri Koruma Portföyü, IBM Security.
Daha fazla bilgi edinmek için lütfen IBM Security sayfasını ziyaret edin.
Uygunluk
Amazon RDS, müşterilerine güçlü bir uygunluk çerçevesi ve müşterilerin geçerli yasal ve düzenleyici gerekliliklere uygunluğu değerlendirmek, karşılamak ve göstermek için kullanabilecekleri gelişmiş araç ve güvenlik önlemleri sunmayı taahhüt eder. Müşteriler, AWS paylaşılan sorumluluk modelini gözden geçirmeli ve Amazon RDS sorumlulukları ile müşteri sorumluluklarını uygun hale getirmelidir. Müşteriler ayrıca RDS'nin denetim raporlarına erişmek ve denetim sorumluluklarına yönelik olarak kendi değerlendirmelerini yapmak için AWS Artifact kullanabilir.
Daha fazla bilgi için lütfen AWS Uygunluk sayfasını ziyaret edin.
SSS
Amazon Sanal Özel Bulut (VPC) nedir ve Amazon RDS ile nasıl çalışır?
Amazon VPC, AWS Bulut'un özel, yalıtılmış bir bölümünde sanal bir ağ ortamı oluşturmanıza imkan tanır. Burada özel IP adresi aralıkları, alt ağlar, yönlendirme tabloları ve ağ geçitleri gibi boyutlar üzerinde tam denetime sahip olabilirsiniz. Amazon VPC ile bir sanal ağ topolojisi tanımlayabilir ve ağ yapılandırmasını kendi veri merkezinizde çalıştırabileceğiniz geleneksel bir IP ağıyla yüksek benzerlik taşıyacak şekilde özelleştirebilirsiniz.
Genel erişime açık bir web uygulaması çalıştırırken özel bir alt ağda genel erişime kapalı arka uç sunucularına sahip olmak istediğiniz durumlarda VPC avantajlı olabilir. Web sunucularınız için internet erişimi olan, genel erişime açık bir alt ağ oluşturabilir ve arka uç Amazon RDS Veritabanı Bulut Sunucularınızı internet erişimi olmayan, özel erişime açık bir alt ağa yerleştirebilirsiniz. Amazon VPC hakkında daha fazla bilgi edinmek için Amazon Sanal Özel Bulut Kullanıcı Kılavuzu'na başvurun.
Amazon RDS'yi bir VPC içinde kullanmanın EC2-Classic platformunda (VPC olmayan) kullanmaktan farkı nedir?
AWS hesabınız 4.12.2013 tarihinden önce oluşturulduysa Amazon RDS'yi bir Amazon Esnek İşlem Bulutu (EC2)-Classic ortamında çalıştırabilirsiniz. EC2-Classic veya EC2-VPC'nin kullanılmasından bağımsız olarak Amazon RDS'nin temel işlevi aynıdır. Amazon RDS, Veritabanı Bulut Sunucularınızın VPC içinde ya da dışında dağıtılmasından bağımsız olarak yedekleme, yazılım düzeltme eki uygulama, otomatik hata algılama, okuma replikaları ve kurtarma işlemlerini yönetir. EC2-Classic ile EC2-VPC arasındaki farklar hakkında daha fazla bilgi edinmek için EC2 belgelerine bakın.
Veri Tabanı Alt Ağ Grubu nedir ve neden gereklidir?
Veri Tabanı Alt Ağ Grubu, bir VPC'deki Amazon RDS veri tabanı bulut sunucularınız için atamak isteyebileceğiniz alt ağlardan oluşan bir koleksiyondur. Her Veritabanı Alt Ağ Grubu, belirli bir Bölgedeki her Erişilebilirlik Alanı için en az bir alt ağa sahip olmalıdır. VPC'de Veritabanı Bulut Sunucusu oluştururken bir Veritabanı Alt Ağ Grubu seçmeniz gerekir. Daha sonra, Amazon RDS bu Veritabanı Alt Ağ Grubunu ve tercih ettiğiniz Erişilebilirlik Alanını kullanarak bir alt ağ ve bu alt ağ içinde bir IP adresi seçer. Amazon RDS, bir Esnek Ağ Arabirimi oluşturup bu IP adresine sahip Veritabanı Bulut Sunucunuz ile ilişkilendirir.
Temel IP adresi değişebileceğinden (ör. yük devretme sırasında) Veritabanı Bulut Sunucunuza bağlanmak için DNS Adını kullanmanızı önerdiğimizi lütfen unutmayın.
Multi-AZ dağıtımları için bir Bölgedeki tüm Erişilebilirlik Alanlarına yönelik bir alt ağ tanımlanması, Amazon RDS'nin gerekirse başka bir Erişilebilirlik Alanında yeni bir yedek oluşturmasına imkan tanır. Bir noktada Multi-AZ dağıtımlarına dönüştürmek isteme ihtimalinize karşı Single-AZ dağıtımları için bile bunu yapmanız gerekir.
VPC'de bir Amazon RDS veri tabanı bulut sunucusunu nasıl oluşturabilirim?
Bu süreci adım adım açıklayan bir yordamı görmek için Amazon RDS Kullanıcı Kılavuzu'nun VPC'de Veri Tabanı Bulut Sunucusu Oluşturma bölümüne başvurun.
Beri tabanı bulut sunucularıma ağ erişimini nasıl denetleyebilirim?
Veri tabanı bulut sunucularınıza erişimi denetlemenin çeşitli yolları hakkında bilgi edinmek için Amazon RDS Kullanıcı Kılavuzu'nun Güvenlik Grupları bölümüne başvurun.
VPC'deki bir Amazon RDS veri tabanı bulut sunucusuna nasıl bağlanabilirim?
Bir VPC içinde dağıtılan veri tabanı bulut sunucularına aynı VPC içinde dağıtılmış EC2 Bulut Sunucuları tarafından erişilebilir. Bu EC2 Bulut Sunucuları, ilişkili Esnek IP'lerle genel erişime açık bir alt ağda dağıtılmışsa EC2 Bulut Sunucularına internet üzerinden erişebilirsiniz. Bir VPC içinde dağıtılan veri tabanı bulut sunucularına internetten veya VPC dışındaki EC2 Bulut Sunucularından VPN ya da genel erişime açık alt ağınızda başlatabileceğiniz kale ana sunucuları aracılığıyla veya Amazon RDS'nin Genel Erişime Açık seçeneği kullanılarak erişilebilir:
- Bir kale ana sunucusu kullanmak için SSH Kalesi olarak görev yapacak bir EC2 bulut sunucusu içeren genel bir alt ağ ayarlamanız gerekir. Bu genel alt ağın bir internet ağ geçidi ve trafiğin SSH ana sunucusu üzerinden yönlendirilmesine imkan tanıyan yönlendirme kuralları olmalıdır. Bu ana sunucu da istekleri Amazon RDS veri tabanı bulut sunucunuzun özel IP adresine iletmelidir.
- Genel bağlantı kullanmak için veri tabanı bulut sunucularınızı oluştururken Publicly Accessible (Genel Erişime Açık) seçeneğini Yes (Evet) olarak ayarlamanız yeterlidir. Publicly Accessible (Genel Erişime Açık) seçeneği etkinken bir VPC içindeki Veritabanı Bulut Sunucularınız varsayılan olarak VPC'niz dışından tam olarak erişilebilir olur. Bu, bulut sunucularınıza erişime izin vermek için bir VPN veya kale ana sunucusu yapılandırmanız gerekmediği anlamına gelir.
Ayrıca, kurumsal ağınızı VPC'nize genişleten ve bu VPC'deki Amazon RDS Veritabanı Bulut Sunucusuna erişime izin veren bir VPN Ağ Geçidi de ayarlayabilirsiniz. Diğer ayrıntıları öğrenmek için Amazon VPC Kullanıcı Kılavuzu'na başvurun.
Temel IP adresi değişebileceğinden (ör. yük devretme sırasında) veri tabanı bulut sunucunuza bağlanmak için DNS Adını kullanmanızı öneririz.
VPC dışındaki mevcut veri tabanı bulut sunucularımı VPC'me taşıyabilir miyim?
Veri tabanı bulut sunucunuz bir VPC'de değilse AWS Yönetim Konsolu'nu kullanarak veri tabanı bulut sunucunuzu kolayca VPC'ye taşıyabilirsiniz. Diğer ayrıntıları öğrenmek için Amazon RDS Kullanıcı Kılavuzu'na bakın. Ayrıca, VPC dışındaki Veritabanı Bulut Sunucunuzun anlık yedeğini alıp kullanmak istediğiniz Veritabanı Alt Ağ Grubunu belirterek VPC'ye geri yükleyebilirsiniz. Alternatif olarak, "Belirli Bir Noktaya Geri Yükle" işlemi de gerçekleştirebilirsiniz.
VPC içindeki mevcut veri tabanı bulut sunucularımı VPC'nin dışına taşıyabilir miyim?
VPC içindeki veri tabanı bulut sunucularının VPC dışına taşınması desteklenmez. Güvenlik nedeniyle, VPC içindeki bir veri tabanı bulut sunucusunun Veri Tabanı Anlık Yedeği, VPC dışına geri yüklenemez. "Belirli Bir Noktaya Geri Yükle" işlevi için de aynısı geçerlidir.
VPC'deki veri tabanı bulut sunucularıma uygulamamın erişebileceğinden emin olmak için hangi önlemleri almalıyım?
VPC'nizdeki yönlendirme tablolarını ve ağ iletişimi ACL'lerini, veri tabanı bulut sunucunuza VPC'deki istemci bulut sunucularınızdan erişilebilmesini sağlayacak şekilde değiştirmek sizin sorumluluğunuzdadır. Multi-AZ dağıtımları için yük devretme işleminden sonra istemci EC2 bulut sunucunuz ve Amazon RDS veri tabanı bulut sunucunuz farklı Erişilebilirlik Alanlarında olabilir. Ağ iletişimi ACL'lerinizi Erişilebilirlik Alanları arası iletişime imkan tanıyacak şekilde yapılandırmalısınız.
Veri tabanı bulut sunucumun Veri Tabanı Alt Ağ Grubunu değiştirebilir miyim?
Mevcut bir Veri Tabanı Alt Ağ Grubu güncellenirken mevcut Erişilebilirlik Alanları veya veri tabanı bulut sunucusu oluşturulduktan sonra eklenen yeni Erişilebilirlik Alanları için daha fazla alt ağ eklenebilir. Mevcut bir Veri Tabanı Alt Ağ Grubundan alt ağların kaldırılması, alt ağ grubundan kaldırılan belirli bir Erişilebilirlik Alanında çalışan bulut sunucuları varsa bunların erişime kapanmasına yol açabilir. Daha fazla bilgi edinmek için Amazon RDS Kullanıcı Kılavuzu'na bakın.
Amazon RDS birincil kullanıcı hesabı nedir ve bu hesabın AWS hesabından farkı nedir?
Amazon RDS'yi kullanmaya başlayabilmeniz için bir AWS geliştirici hesabınız olmalıdır. Amazon RDS için kaydolmadan önce hesabınız yoksa kayıt işlemlerine başladığınızda bir hesap oluşturmanız istenir. Birincil kullanıcı hesabı AWS geliştirici hesabından farklıdır ve yalnızca Amazon RDS bağlamında Veritabanı Bulut Sunucularınıza erişimin denetlenmesi için kullanılır. Birincil kullanıcı hesabı, Veritabanı Bulut Sunucunuza bağlanmak için kullanabileceğiniz yerel bir veritabanı kullanıcı hesabıdır.
Veritabanı Bulut Sunucusunu oluştururken her Veritabanı Bulut Sunucusu ile ilişkilendirilmesini istediğiniz birincil kullanıcı adını ve parolayı belirtebilirsiniz. Veritabanı Bulut Sunucunuzu oluşturduktan sonra birincil kullanıcı kimlik bilgilerini kullanarak veritabanına bağlanabilirsiniz. Bunun ardından veri tabanı bulut sunucunuza erişebilecek kişileri kısıtlayabilmeniz için ek kullanıcı hesapları oluşturmak da isteyebilirsiniz.
Veri tabanı bulut sunucum için birincil kullanıcıya hangi ayrıcalıklar verilir?
MySQL için birincil kullanıcıya varsayılan olarak verilen ayrıcalıklar şunlardır: create (oluşturma), drop (bırakma), references (başvurular), event (olay), alter (değiştirme), delete (silme), index (dizin oluşturma), insert (ekleme), select (seçme), update (güncelleme), create temporary tables (geçici tablolar oluşturma), lock tables (tabloları kilitleme), trigger (tetikleme), create view (görünüm oluşturma), show view (görünümü gösterme), alter routine (rutini değiştirme), create routine (rutin oluşturma), execute (yürütme), trigger (tetikleme), create user (kullanıcı oluşturma), process (işleme), show databases (veri tabanlarını gösterme), grant option (seçenek verme).
Oracle için birincil kullanıcıya "dba" rolü verilir. Birincil kullanıcı, "dba" rolüyle ilişkili çoğu ayrıcalığı devralır. Kısıtlı ayrıcalıkların ve bunlara karşılık gelen, yönetim görevlerini gerçekleştirmek için bu ayrıcalıkları gerektirebilecek alternatiflerin listesini görmek için lütfen Amazon RDS Kullanıcı Kılavuzu'na başvurun.
SQL Server için veritabanını oluşturan kullanıcıya "db_owner" rolü verilir. Kısıtlı ayrıcalıkların ve bunlara karşılık gelen, yönetim görevlerini gerçekleştirmek için bu ayrıcalıkları gerektirebilecek alternatiflerin listesini görmek için lütfen Amazon RDS Kullanıcı Kılavuzu'na başvurun.
Amazon RDS ile kullanıcı yönetiminin farklı bir yönü var mıdır?
Hayır, her şey kendi yönettiğiniz bir ilişkisel veri tabanını kullanırken alışık olduğunuz şekilde çalışır.
Kendi veri merkezimdeki sunucularda çalışan programlar Amazon RDS veri tabanlarına erişebilir mi?
Evet. Güvenlik Grupları yapılandırarak İnternet üzerinden veritabanına erişebilme özelliğini açıkça etkinleştirmeniz gerekir. Yalnızca kendi veri merkezinizdeki sunuculara karşılık gelen belirli IP'ler, IP aralıkları veya alt ağlar için erişim yetkisi verebilirsiniz.
Uygulamam ile veri tabanı bulut sunucum arasındaki bağlantıları SSL/TLS ile şifreleyebilir miyim?
Evet, bu seçenek tüm Amazon RDS altyapılarında desteklenmektedir. Amazon RDS, her veri tabanı bulut sunucusu için bir SSL/TLS sertifikası oluşturur. Şifrelenmiş bir bağlantı kurulduktan sonra veri tabanı bulut sunucusu ile uygulamanız arasında aktarılan veriler, aktarım sırasında şifrelenir. SSL, güvenlik açısından avantajlı olsa da SSL/TLS şifrelemesinin yoğun işlem kaynağı gerektiren bir yöntem olduğunu ve veritabanı bağlantınızın gecikme süresini artıracağını unutmayın. Amazon RDS'de sunulan SSL/TLS desteği, uygulamanız ile veri tabanı bulut sunucunuz arasındaki bağlantının şifrelenmesi içindir ve veri tabanı bulut sunucusunun kendi kimliğinin doğrulanması için kullanılmamalıdır.
Amazon RDS ile şifrelenmiş bağlantı kurma hakkında ayrıntılı bilgi edinmek için lütfen Amazon RDS MySQL Kullanıcı Kılavuzu, MariaDB Kullanıcı Kılavuzu, PostgreSQL Kullanıcı Kılavuzu veya Oracle Kullanıcı Kılavuzu'na bakın.
Amazon RDS veri tabanlarımdaki bekleyen verileri şifreleyebilir miyim?
Amazon RDS, AWS Anahtar Yönetim Hizmeti (KMS) ile yönettiğiniz anahtarlar kullanılarak tüm veri tabanı altyapıları için bekleyen verilerin şifrelenmesini destekler. Amazon RDS şifrelemesiyle çalışan bir veritabanı bulut sunucusunda, temel depolamada bulunan verilerin yanı sıra bunun otomatik yedekleri, okuma replikaları ve anlık yedekleri şifrelenir. Şifreleme ve şifre çözme işlemleri şeffaf olarak gerçekleştirilir. Amazon RDS ile KMS kullanımı hakkında daha fazla bilgi edinmek için Amazon RDS Kullanıcı Kılavuzu'na bakın.
Ayrıca, daha önce şifresi kaldırılmış bir veri tabanı bulut sunucusuna veya veri tabanı kümesine, bir veri tabanı anlık yedeği oluşturduktan sonra bu anlık yedeğin bir kopyasını oluşturup bir KMS şifreleme anahtarı belirterek şifreleme ekleyebilirsiniz. Daha sonra, şifrelenmiş anlık yedekten şifrelenmiş bir veri tabanı bulut sunucusunu veya veri tabanı kümesini geri yükleyebilirsiniz.
Oracle ve SQL Server için Amazon RDS, bu altyapıların Şeffaf Veri Şifrelemesi (TDE) teknolojilerini destekler. Daha fazla bilgi edinmek için Amazon RDS Kullanıcı Kılavuzu'nun Oracle ve SQL Server ile ilgili bölümlerine bakın.
S: Oracle İçin Amazon RDS veri tabanımı AWS CloudHSM ile entegre edebilir miyim?
Hayır, Amazon RDS'deki bir Oracle bulut sunucusu AWS CloudHSM ile entegre edilemez. AWS CloudHSM ile şeffaf veri şifrelemesi (TDE) kullanmak için Oracle veri tabanının Amazon EC2'ye yüklenmesi gerekir.
Sistemlerimin ve kullanıcılarımın belirli Amazon RDS kaynakları üzerinde gerçekleştirebileceği eylemleri nasıl denetleyebilirim?
AWS IAM kullanıcılarınızın ve gruplarınızın Amazon RDS kaynakları üzerinde gerçekleştirebileceği eylemleri denetleyebilirsiniz. Bunu, kullanıcılarınıza ve gruplarınıza uyguladığınız AWS IAM politikalarında Amazon RDS kaynaklarına başvurarak yapabilirsiniz. Bir AWS IAM politikasında başvurulabilecek Amazon RDS kaynakları arasında veri tabanı bulut sunucuları, veri tabanı anlık yedekleri, okuma replikaları, veri tabanı güvenlik grupları, veri tabanı seçenek grupları, veri tabanı parametre grupları, olay abonelikleri ve veri tabanı alt ağ grupları yer alır.
Ayrıca, bu kaynakları etiketleyerek kaynaklarınıza ilave meta veriler ekleyebilirsiniz. Etiketlemeyi kullanarak kaynaklarınızı kategorilere (ör. "Geliştirme" veritabanı bulut sunucuları, "Üretim" veritabanı bulut sunucuları, "Test" veritabanı bulut sunucuları) ayırabilir ve aynı etiketlere sahip kaynaklar için verilebilecek izinleri (eylemler) listeleyen AWS IAM politikaları yazabilirsiniz. Daha fazla bilgi için bkz. Amazon RDS Kaynaklarını Etiketleme.
Amazon RDS dağıtımım üzerinde güvenlik analizi veya operasyonel sorun giderme işlemleri gerçekleştirmek istiyorum. Hesabımda gerçekleştirilen tüm Amazon RDS API'si çağrılarının geçmişine erişebilir miyim?
Evet. AWS CloudTrail, hesabınız için AWS API çağrılarını kaydeden ve size günlük dosyalarını gönderen bir web hizmetidir. CloudTrail tarafından oluşturulan AWS API'si çağrı geçmişi sayesinde güvenlik analizi, kaynak değişikliği izleme ve uygunluk denetimi mümkündür.
Amazon RDS'yi HIPAA'ya uygunluk gerektiren uygulamalarla kullanabilir miyim?
Evet, tüm Amazon RDS veri tabanı altyapıları HIPAA'ya uygun olduğundan, bunları kullanarak HIPAA'ya uygun uygulamalar oluşturabilir ve AWS ile yaptığınız bir İş Ortağı Sözleşmesi (BAA) kapsamında korunan sağlık bilgileri (PHI) dahil olmak üzere sağlık hizmetleriyle ilgili bilgileri saklayabilirsiniz.
Daha önce BAA yaptıysanız bu hizmetleri BAA'nız kapsamındaki hesaplarda kullanmaya başlamanız için herhangi bir eylem gerçekleştirmeniz gerekmez. AWS ile yaptığınız bir BAA yoksa veya AWS'de HIPAA ile uyumlu uygulamalar hakkında başka sorularınız varsa lütfen
hesap yöneticinizle iletişime geçin.
