Bảo mật của Amazon RDS

Mã hóa giao tiếp giữa ứng dụng của bạn và Phiên bản CSDL của bạn bằng SSL/TLS. Amazon RDS tạo chứng chỉ SSL và cài đặt chứng chỉ trên phiên bản CSDL khi phiên bản được cung cấp. Đối với MySQL, bạn khởi chạy máy khách mysql bằng tham số --ssl_ca để tham chiếu khóa công khai nhằm mã hóa các kết nối. Đối với SQL Server, tải xuống khóa công khai và nhập chứng chỉ vào hệ điều hành Windows của bạn. RDS dành cho Oracle sử dụng mã hóa mạng gốc Oracle với phiên bản CSDL. Bạn chỉ cần thêm tùy chọn mã hóa mạng gốc vào một nhóm tùy chọn và liên kết nhóm tùy chọn đó với phiên bản CSDL. Sau khi thiết lập một kết nối được mã hóa, dữ liệu truyền giữa Phiên bản CSDL và ứng dụng của bạn sẽ được mã hóa trong quá trình truyền dữ liệu. Bạn cũng có thể yêu cầu phiên bản CSDL của mình chỉ chấp nhận các kết nối mã hóa.

Amazon RDS được tích hợp với Quản lý danh tính và truy cập (IAM) trong AWS và cho phép bạn kiểm soát các hành động mà người dùng và nhóm AWS IAM có thể thực hiện trên các tài nguyên cụ thể (ví dụ: Phiên bản CSDL, Bản kết xuất nhanh CSDL, Nhóm thông số CSDL, Đăng ký sự kiện CSDL và Nhóm tùy chọn CSDL). Ngoài ra, bạn có thể gắn thẻ các tài nguyên và kiểm soát những hành động mà người dùng và nhóm IAM có thể thực hiện đối với các nhóm tài nguyên có cùng thẻ (và giá trị thẻ). Để biết thêm thông tin về tích hợp IAM, vui lòng xem tài liệu Xác thực cơ sở dữ liệu IAM.

Bạn cũng có thể gắn thẻ các tài nguyên Amazon RDS và kiểm soát những hành động mà người dùng IAM và nhóm có thể thực hiện đối với các nhóm tài nguyên có cùng thẻ đánh dấu và giá trị liên kết. Ví dụ: bạn có thể cấu hình quy tắc IAM để đảm bảo nhà phát triển có thể chỉnh sửa phiên bản cơ sở dữ liệu "Phát triển", nhưng chỉ Quản trị viên cơ sở dữ liệu mới có thể thực hiện các thay đổi đối với các phiên bản cơ sở dữ liệu "Sản xuất".

Khi bạn lần đầu tiên tạo Phiên bản CSDL trong Amazon RDS, bạn sẽ tạo tài khoản người dùng chính, tài khoản này chỉ được sử dụng trong ngữ cảnh Amazon RDS để kiểm soát truy cập vào (các) Phiên bản CSDL của bạn. Tài khoản người dùng chính là tài khoản người dùng cơ sở dữ liệu gốc cho phép bạn đăng nhập vào Phiên bản CSDL của mình với tất cả các đặc quyền cơ sở dữ liệu. Bạn có thể chỉ định tên người dùng chính và mật khẩu mà bạn muốn liên kết với mỗi Phiên bản CSDL khi tạo Phiên bản CSDL. Sau khi tạo Phiên bản CSDL, bạn có thể kết nối đến cơ sở dữ liệu bằng thông tin xác thực người dùng chính. Sau đó, bạn có thể tạo thêm tài khoản người dùng để có thể giới hạn đối tượng được phép truy cập vào Phiên bản CSDL của bạn.

Sử dụng Đám mây riêng ảo (VPC) của Amazon, bạn có thể cách ly Phiên bản CSDL trên mạng ảo của riêng bạn và kết nối đến cơ sở hạ tầng CNTT hiện có của bạn bằng cách sử dụng VPN IPSec được mã hóa theo tiêu chuẩn ngành.

Amazon VPC cho phép bạn cách ly Phiên bản CSDL bằng cách chỉ định dải IP bạn muốn sử dụng và kết nối với cơ sở hạ tầng CNTT hiện có của bạn thông qua VPN IPsec được mã hóa theo tiêu chuẩn ngành. Chạy Amazon RDS trong VPC cho phép bạn có phiên bản CSDL trong mạng con riêng. Bạn cũng có thể thiết lập một cổng riêng ảo để mở rộng mạng doanh nghiệp sang VPC và cho phép truy cập vào phiên bản CSDL Amazon RDS trên VPC đó. Tham khảo Hướng dẫn sử dụng Amazon VPC để biết thêm chi tiết. Có thể truy cập Phiên bản CSDL được triển khai trong một Amazon VPC từ Internet hoặc từ Phiên bản Amazon EC2 bên ngoài VPC qua VPN hoặc các máy chủ pháo đài mà bạn có thể khởi chạy trên mạng con công cộng của mình. Để sử dụng máy chủ pháo đài, bạn cần thiết lập một mạng con công cộng có phiên bản EC2 hoạt động như một Pháo đài SSH. Mạng con công cộng này phải có một cổng Internet và quy tắc định tuyến cho phép chuyển hướng lưu lượng qua máy chủ SSH mà sau đó phải chuyển tiếp các yêu cầu đến địa chỉ IP riêng của phiên bản CSDL Amazon RDS của bạn. Các nhóm bảo mật CSDL có thể được sử dụng để giúp bảo mật Phiên bản CSDL trong Amazon VPC. Ngoài ra, lưu lượng truy cập mạng đi vào và đi ra khỏi mỗi mạng con có thể được cho phép hoặc từ chối thông qua ACL mạng. Tất cả lưu lượng truy cập mạng đi vào hoặc đi ra khỏi Amazon VPC của bạn thông qua kết nối VPN IPsec có thể được kiểm tra bởi cơ sở hạ tầng bảo mật tại chỗ của bạn, bao gồm tường lửa mạng và hệ thống phát hiện xâm nhập.

Ngoài các mối đe dọa bảo mật bên ngoài, cơ sở dữ liệu được quản lý cần cung cấp khả năng bảo vệ chống lại rủi ro nội bộ từ quản trị viên cơ sở dữ liệu (DBA). Luồng hoạt động cơ sở dữ liệu, hiện được hỗ trợ cho Amazon Aurora và Amazon RDS dành cho Oracle, cung cấp luồng dữ liệu thời gian thực của hoạt động cơ sở dữ liệu trong cơ sở dữ liệu quan hệ của bạn. Khi được tích hợp với các công cụ giám sát hoạt động cơ sở dữ liệu của bên thứ 3, bạn có thể giám sát và kiểm tra hoạt động cơ sở dữ liệu để cung cấp các biện pháp bảo vệ cho cơ sở dữ liệu của mình và đáp ứng các yêu cầu tuân thủ và quy định.

Luồng hoạt động cơ sở dữ liệu bảo vệ cơ sở dữ liệu của bạn khỏi các mối đe dọa nội bộ bằng cách triển khai mô hình bảo vệ để kiểm soát truy cập của DBA vào luồng hoạt động cơ sở dữ liệu. Do đó, hoạt động thu thập, truyền, lưu trữ và xử lý tiếp theo của luồng hoạt động cơ sở dữ liệu nằm ngoài quyền truy cập của các DBA phụ trách quản lý cơ sở dữ liệu.

Luồng được chuyển đến luồng dữ liệu Amazon Kinesis được tạo thay mặt cho cơ sở dữ liệu của bạn. Từ Firehose dữ liệu Kinesis, luồng hoạt động cơ sở dữ liệu sau đó có thể được sử dụng bởi Amazon CloudWatch hoặc bởi các ứng dụng đối tác để quản lý tuân thủ, chẳng hạn như IBM Security Guardium. Các ứng dụng đối tác này có thể sử dụng thông tin luồng hoạt động cơ sở dữ liệu để tạo cảnh báo và cung cấp khả năng kiểm tra tất cả hoạt động trên cơ sở dữ liệu Amazon Aurora của bạn.

Bạn có thể tìm hiểu thêm về cách sử dụng Luồng hoạt động cơ sở dữ liệu cho các phiên bản Aurora tương thích với PostgreSQL và MySQL trong trang tài liệu và cho Amazon RDS dành cho Oracle trong trang tài liệu.

Amazon RDS cam kết cung cấp cho khách hàng một khung tuân thủ mạnh mẽ cùng với các công cụ và biện pháp bảo mật nâng cao mà khách hàng có thể sử dụng để đánh giá, đáp ứng và chứng minh sự tuân thủ các yêu cầu pháp lý và quy định hiện hành. Khách hàng nên xem lại Mô hình trách nhiệm chung AWS và ánh xạ giữa trách nhiệm của Amazon RDS và trách nhiệm của khách hàng. Khách hàng cũng có thể sử dụng AWS Artifact để truy cập các báo cáo kiểm tra của RDS và tiến hành đánh giá trách nhiệm kiểm soát.

Để biết thêm thông tin, vui lòng truy cập Trang tuân thủ AWS.

Amazon RDS cung cấp hướng dẫn thực hành tốt nhất bằng cách phân tích các chỉ số cấu hình và mức sử dụng từ các phiên bản cơ sở dữ liệu của bạn. Các đề xuất bao gồm các lĩnh vực như bảo mật, mã hóa, IAM và VPC. Bạn có thể duyệt các đề xuất hiện có và thực hiện ngay một hành động được đề xuất, đặt lịch thực hiện hành động đó trong khoảng thời gian bảo trì tiếp theo hoặc xóa bỏ hoàn toàn hành động đó.

Amazon VPC cho phép bạn tạo môi trường mạng ảo trên một phần riêng tư, tách biệt của đám mây AWS. Tại đây, bạn có quyền kiểm soát hoàn toàn đối với các khía cạnh như dải địa chỉ IP riêng, mạng con, bảng định tuyến và cổng mạng. Với Amazon VPC, bạn có thể xác định một cấu trúc mạng ảo và tùy chỉnh cấu hình mạng cho giống nhất với một mạng IP truyền thống mà bạn có thể vận hành tại trung tâm dữ liệu của chính bạn.

Bạn có thể tận dụng VPC trong trường hợp bạn muốn chạy một ứng dụng web công khai nhưng vẫn cần duy trì các máy chủ backend không cho phép truy cập công khai trên một mạng con riêng. Bạn có thể tạo một mạng con công khai cho các máy chủ web có kết nối với Internet, rồi đặt các Phiên bản CSDL Amazon RDS backend lên một mạng con cá nhân không có kết nối với Internet. Để biết thêm thông tin về Amazon VPC, hãy tham khảo Hướng dẫn sử dụng Đám mây riêng ảo của Amazon.

Nếu tài khoản AWS của bạn được tạo trước ngày 4/12/2013, bạn có thể chạy Amazon RDS trong môi trường Amazon Elastic Compute Cloud (EC2)-Classic. Chức năng cơ bản của Amazon RDS giống nhau bất kể sử dụng EC2-Classic hay EC2-VPC. Amazon RDS quản lý các bản sao lưu, vá lỗi phần mềm, tự động phát hiện sự cố, bản sao chỉ đọc và khôi phục cho dù Phiên bản CSDL của bạn được triển khai bên trong hay bên ngoài VPC. Để biết thêm thông tin về sự khác biệt giữa EC2-Classic và EC2-VPC, hãy tham khảo tài liệu về EC2.

Nhóm mạng con CSDL là một tập hợp các mạng con mà bạn muốn chỉ định cho Phiên bản CSDL Amazon RDS của bạn trong một VPC. Mỗi Nhóm mạng con CSDL cần có tối thiểu một mạng con cho mỗi Vùng sẵn sàng trong một Khu vực cụ thể. Khi tạo một Phiên bản CSDL trong VPC, bạn cần chọn một Nhóm mạng con DB. Amazon RDS khi đó sử dụng Nhóm mạng con DB đó và Vùng sẵn sàng mong muốn của bạn để chọn một mạng con và một địa chỉ IP bên trong mạng con đó. Amazon RDS tạo và liên kết một Giao diện mạng linh hoạt với Phiên bản CSDL của bạn bằng địa chỉ IP đó.

Xin lưu ý rằng bạn nên sử dụng Tên DNS để kết nối tới Phiên bản CSDL do địa chỉ IP cơ sở có thể thay đổi (ví dụ như trong quá trình chuyển đổi dự phòng).

Đối với triển khai Nhiều vùng sẵn sàng, việc xác định một mạng con cho tất cả các Vùng sẵn sàng trong một khu vực sẽ cho phép Amazon RDS tạo một bản dự phòng mới ở Vùng sẵn sàng khác nếu phát sinh nhu cầu. Bạn cần làm việc này cho cả các triển khai Single-AZ, phòng trường hợp bạn cần chuyển đổi chúng thành triển khai Multi-AZ vào thời điểm nào đó.

Để biết quy trình hướng dẫn chi tiết cho quá trình này, hãy tham khảo phần Creating a DB Instance in a VPC (Tạo Phiên bản CSDL trên VPC) trong Hướng dẫn sử dụng Amazon RDS.

Truy cập mục Nhóm bảo mật của Hướng dẫn sử dụng Amazon RDS để tìm hiểu thêm về những cách kiểm soát truy cập khác nhau vào Phiên bản CSDL của bạn.

Có thể truy cập Phiên bản CSDL được triển khai trên một VPC bằng Phiên bản EC2 được triển khai trên cùng VPC đó. Nếu các Phiên bản EC2 này được triển khai trên một mạng con công cộng có các IP Động được liên kết, bạn có thể truy cập Phiên bản EC2 qua Internet. Có thể truy cập Phiên bản CSDL được triển khai trên một VPC từ Internet hoặc từ Phiên bản EC2 bên ngoài VPC qua VPN hoặc các máy chủ pháo đài mà bạn có thể khởi chạy trên mạng con công khai của mình hoặc sử dụng tùy chọn Truy cập công khai của Amazon RDS:

• Để sử dụng máy chủ pháo đài, bạn cần thiết lập một mạng con công cộng có phiên bản EC2 hoạt động như một Pháo đài SSH. Mạng con công cộng này phải có một cổng Internet và quy tắc định tuyến cho phép chuyển hướng lưu lượng qua máy chủ SSH mà sau đó phải chuyển tiếp các yêu cầu đến địa chỉ IP riêng của phiên bản CSDL Amazon RDS của bạn.
• Để sử dụng kết nối công cộng, chỉ cần tạo Phiên bản CSDL với tùy chọn Có thể truy cập công khai được thiết lập thành có. Khi kích hoạt tùy chọn Công chúng có thể truy cập, Phiên bản CSDL của bạn trên một VPC mặc định có thể truy cập được đầy đủ từ bên ngoài VPC của bạn. Điều này có nghĩa là bạn không cần cấu hình một VPN hay máy chủ pháo đài để cho phép truy cập đến phiên bản của bạn. 

Bạn cũng có thể thiết lập một Cổng VPN để mở rộng mạng doanh nghiệp sang VPC và cho phép truy cập vào phiên bản CSDL Amazon RDS trên VPC đó. Tham khảo Hướng dẫn sử dụng Amazon VPC để biết thêm chi tiết.

Chúng tôi khuyến cáo bạn nên sử dụng Tên DNS để kết nối Phiên bản CSDL vì địa chỉ IP cơ sở có thể thay đổi (ví dụ: trong quá trình chuyển đổi dự phòng).

Nếu phiên bản CSDL của bạn không nằm trong một VPC, bạn có thể sử dụng Bảng điều khiển quản lý AWS để dễ dàng di chuyển phiên bản CSDL của bạn sang một VPC. Tham khảo Hướng dẫn sử dụng Amazon RDS để biết thêm chi tiết. Bạn cũng có thể tạo một bản kết xuất nhanh của Phiên bản CSDL bên ngoài VPC và khôi phục nó sang VPC bằng cách xác định Nhóm mạng con DB bạn muốn sử dụng. Hoặc, bạn có thể thực hiện một thao tác “Khôi phục về một thời điểm cụ thể”.

Chúng tôi không hỗ trợ di chuyển Phiên bản CSDL từ bên trong ra ngoài VPC. Vì lý do bảo mật, không được khôi phục một bản Kết xuất nhanh CSDL của Phiên bản CSDL bên trong VPC ra bên ngoài VPC. Quy định này cũng áp dụng với tính năng "Khôi phục từ một thời điểm cụ thể". 

Bạn chịu trách nhiệm điều chỉnh các bảng định tuyến và ACL mạng trên VPC của mình để đảm bảo các phiên bản máy khách có thể truy cập vào phiên bản CSDL trên VPC. Đối với triển khai Nhiều vùng sẵn sàng, sau quá trình chuyển đổi dự phòng, phiên bản EC2 máy khách và Phiên bản CSDL Amazon RDS của bạn có thể nằm ở các Vùng sẵn sàng khác nhau. Bạn cần cấu hình các ACL mạng để đảm bảo có thể kết nối giữa các Vùng sẵn sàng.

Có thể cập nhật Nhóm mạng con CSDL hiện hành để bổ sung thêm mạng con, cho các Vùng sẵn sàng hiện hành hoặc cho các Vùng sẵn sàng mới được bổ sung kể từ khi tạo Phiên bản CSDL. Việc gỡ mạng con khỏi một Nhóm mạng con DB hiện hành có thể làm gián đoạn phiên bản nếu chúng đang chạy trên một Vùng sẵn sàng riêng bị gỡ khỏi nhóm mạng con. Hãy xem Hướng dẫn sử dụng Amazon RDS để biết thêm thông tin.

Để bắt đầu sử dụng Amazon RDS, bạn cần có một tài khoản nhà phát triển AWS. Nếu bạn không có tài khoản này trước khi đăng ký Amazon RDS, bạn sẽ được nhắc tạo một tài khoản khi bắt đầu quá trình đăng ký. Tài khoản người dùng chính khác với tài khoản nhà phát triển AWS và chỉ được dùng trong môi trường Amazon RDS để kiểm soát truy cập đến (các) Phiên bản CSDL của bạn. Tài khoản người dùng chính là một tài khoản người dùng cơ sở dữ liệu gốc mà bạn có thể dùng để kết nối đến Phiên bản CSDL của mình. 

Bạn có thể chỉ định tên người dùng chính và mật khẩu mà bạn muốn liên kết với mỗi Phiên bản CSDL khi tạo Phiên bản CSDL. Sau khi tạo Phiên bản CSDL, bạn có thể kết nối đến cơ sở dữ liệu bằng thông tin xác thực người dùng chính. Sau đó, bạn có thể cần tạo thêm các tài khoản người dùng để có thể giới hạn ai có thể truy cập Phiên bản CSDL của bạn.

Đối với MySQL, đặc quyền mặc định cho người dùng chính gồm có: tạo, thả, tham chiếu, tạo sự kiện, thay đổi, xóa, lập chỉ mục, chèn, chọn, cập nhật, tạo bảng tạm thời, khóa bảng, kích hoạt, tạo lượt xem, hiển thị lượt xem, thay đổi thủ tục, tạo thủ tục, thực thi, kích hoạt, tạo người dùng, xử lý, hiển thị cơ sở dữ liệu, cấp tùy chọn.

Đối với Oracle, người dùng chính được cấp vai trò "dba". Người dùng chính kế thừa phần lớn các đặc quyền tương ứng với vai trò đó. Vui lòng tham khảo Hướng dẫn sử dụng Amazon RDS để biết danh sách các đặc quyền giới hạn và lựa chọn thay thế tương ứng để thực hiện các tác vụ quản trị có thể cần đến các đặc quyền này.

Đối với SQL Server, người dùng tạo ra cơ sở dữ liệu được cấp vai trò "db_owner". Vui lòng tham khảo Hướng dẫn sử dụng Amazon RDS để biết danh sách các đặc quyền giới hạn và lựa chọn thay thế tương ứng để thực hiện các tác vụ quản trị có thể cần đến các đặc quyền này.

Không, mọi thứ hoạt động đúng như cách quen thuộc mà bạn vẫn biết khi sử dụng một cơ sở dữ liệu quan hệ do chính bạn quản lý.

Có. Bạn phải chủ đích bật khả năng truy cập cơ sở dữ liệu của mình qua Internet bằng cách cấu hình Nhóm bảo mật. Bạn có thể cấp quyền truy cập cho những IP, khoảng IP hoặc mạng con nhất định theo các máy chủ tại trung tâm dữ liệu của chính bạn.

Có, tùy chọn này được hỗ trợ cho tất cả công cụ Amazon RDS. Amazon RDS tạo một chứng nhận SSL/TLS cho mỗi Phiên bản CSDL. Sau khi thiết lập một kết nối được mã hóa, dữ liệu truyền giữa Phiên bản CSDL và ứng dụng của bạn sẽ được mã hóa trong quá trình truyền dữ liệu. Mặc dù SSL có nhiều lợi ích bảo mật, bạn nên biết rằng mã hóa SSL/TLS là một hoạt động tốn nhiều tài nguyên điện toán và sẽ làm tăng độ trễ kết nối cơ sở dữ liệu của bạn. Hỗ trợ SSL/TLS trên Amazon RDS là để mã hóa kết nối giữa ứng dụng và Phiên bản CSDL của bạn; không nên lệ thuộc vào cơ chế này để xác thực Phiên bản CSDL.

Để biết chi tiết về cách thiết lập kết nối mã hóa với Amazon RDS, vui lòng truy cập Hướng dẫn sử dụng MySQL, Hướng dẫn sử dụng MariaDB, Hướng dẫn sử dụng PostgreSQL hoặc Hướng dẫn sử dụng Oracle của Amazon RDS.

Amazon RDS hỗ trợ mã hóa dữ liệu đang được lưu trữ cho tất cả các công cụ cơ sở dữ liệu bằng khóa do bạn quản lý thông qua Dịch vụ quản lý khóa (KMS) của AWS. Trên một phiên bản cơ sở dữ liệu đang chạy với mã hóa Amazon RDS, dữ liệu được lưu và không còn hoạt động trên bộ lưu trữ chính được mã hóa giống như các bản sao lưu tự động, bản sao đọc và kết xuất nhanh của phiên bản cơ sở dữ liệu đó. Mã hóa và giải mã được xử lý một cách minh bạch. Để biết thêm thông tin về cách sử dụng KMS với Amazon RDS, hãy tham khảo Hướng dẫn sử dụng Amazon RDS.

Bạn cũng có thể thêm mã hóa cho một phiên bản CSDL chưa được mã hóa trước đó hoặc cụm CSDL bằng cách tạo một kết xuất nhanh CSDL rồi sau đó tạo một bản sao của bản kết xuất nhanh đó và xác định một khóa mã hóa KMS. Khi đó bạn có thể khôi phục một phiên bản CSDL được mã hóa hoặc nhóm DB từ bản kết xuất nhanh được mã hóa đó.

Amazon RDS dành cho Oracle và SQL Server hỗ trợ công nghệ Mã hóa dữ liệu minh bạch (TDE) của các công cụ này. Để biết thêm thông tin, hãy tham khảo Hướng dẫn sử dụng Amazon RDS cho Oracle và SQL Server.

Không, phiên bản Oracle trên Amazon RDS không thể tích hợp với AWS CloudHSM. Để sử dụng mã hóa dữ liệu minh bạch (TDE) với AWS CloudHSM, cơ sở dữ liệu Oracle cần được cài đặt trên Amazon EC2.

Bạn có thể kiểm soát các hoạt động mà người dùng và nhóm AWS IAM có thể thực hiện đối với tài nguyên Amazon RDS. Bạn thực hiện việc này bằng cách tham chiếu các tài nguyên Amazon RDS theo chính sách AWS IAM mà bạn áp dụng với người dùng và nhóm của mình. Tài nguyên Amazon RDS mà bạn có thể tham chiếu theo chính sách IAM của AWS gồm có phiên bản CSDL, bản kết xuất nhanh CSDL, bản sao chỉ đọc, nhóm bảo mật CSDL, nhóm tùy chọn CSDL, nhóm thông số CSDL, gói đăng ký sự kiện và nhóm mạng con CSDL. 

Ngoài ra, bạn có thể gắn thẻ các tài nguyên này để thêm siêu dữ liệu bổ sung vào tài nguyên của bạn. Bằng cách gắn thẻ, bạn có thể phân loại tài nguyên của mình (ví dụ: Phiên bản CSDL “Phát triển”, Phiên bản CSDL “Sản xuất” và Phiên bản CSDL “Kiểm thử”) và viết các chính sách AWS IAM có quy định phân quyền (ví dụ: hoạt động) có thể thực hiện đối với tài nguyên bằng cùng một thẻ. Để biết thêm thông tin, hãy xem Gắn thẻ tài nguyên Amazon RDS.

Có. AWS CloudTrail là dịch vụ web ghi lại các lệnh gọi API AWS cho tài khoản của bạn và gửi cho bạn tệp bản ghi. Lịch sử lệnh gọi API AWS do CloudTrail tạo ra cho phép thực hiện phân tích bảo mật, theo dõi thay đổi tài nguyên và kiểm tra tuân thủ. 

Có, tất cả các công cụ cơ sở dữ liệu Amazon RDS đều đủ điều kiện HIPAA nên bạn có thể sử dụng chúng để xây dựng các ứng dụng tuân thủ HIPAA và lưu trữ thông tin liên quan đến chăm sóc sức khỏe, bao gồm cả thông tin sức khỏe được bảo vệ (PHI) theo Thỏa thuận hợp tác kinh doanh (BAA) đã ký với AWS.

Nếu có BAA đã ký, bạn không cần phải làm gì thêm để bắt đầu sử dụng các dịch vụ này trên (các) tài khoản thuộc phạm vi của BAA. Nếu bạn chưa có BAA đã ký với AWS hoặc có bất kỳ câu hỏi nào về ứng dụng tuân thủ HIPAA trên AWS, vui lòng liên hệ với
người quản lý tài khoản của bạn.