Bảo mật của Amazon RDS

Amazon RDS mã hóa cơ sở dữ liệu của bạn bằng các khóa do bạn quản lý thông qua Dịch vụ quản lý khóa (KMS) của AWS. Trên một phiên bản cơ sở dữ liệu đang chạy với mã hóa Amazon RDS, dữ liệu được lưu trữ trên kho lưu trữ cơ bản được mã hóa giống như các bản sao lưu tự động, bản sao chỉ có quyền đọc và ảnh chụp nhanh của phiên bản cơ sở dữ liệu đó. Mã hóa Amazon RDS sử dụng thuật toán mã hóa AES-256 tiêu chuẩn ngành để mã hóa dữ liệu của bạn trên máy chủ lưu trữ phiên bản Amazon RDS của bạn.

Amazon RDS cũng hỗ trợ Mã hóa dữ liệu minh bạch (TDE) dành cho SQL Server (Phiên bản dành cho doanh nghiệp và Phiên bản tiêu chuẩn của SQL Server) và Oracle (tùy chọn Bảo mật nâng cao Oracle trong Phiên bản Oracle dành cho doanh nghiệp). Với TDE, máy chủ cơ sở dữ liệu tự động mã hóa dữ liệu trước khi dữ liệu được ghi vào kho lưu trữ và tự động giải mã dữ liệu khi dữ liệu được đọc từ kho lưu trữ.

Amazon RDS cung cấp hướng dẫn thực hành tốt nhất bằng cách phân tích các chỉ số cấu hình và mức sử dụng từ các phiên bản cơ sở dữ liệu của bạn. Các đề xuất bao gồm các lĩnh vực như bảo mật, mã hóa, IAM và VPC. Bạn có thể duyệt các đề xuất hiện có và thực hiện ngay một hành động được đề xuất, đặt lịch thực hiện hành động đó trong khoảng thời gian bảo trì tiếp theo hoặc xóa bỏ hoàn toàn hành động đó.

Mã hóa giao tiếp giữa ứng dụng của bạn và Phiên bản CSDL của bạn bằng SSL/TLS. Amazon RDS tạo chứng chỉ SSL và cài đặt chứng chỉ trên phiên bản CSDL khi phiên bản được cung cấp. Đối với MySQL, bạn khởi chạy máy khách mysql bằng tham số --ssl_ca để tham chiếu khóa công khai nhằm mã hóa các kết nối. Đối với SQL Server, tải xuống khóa công khai và nhập chứng chỉ vào hệ điều hành Windows của bạn. RDS dành cho Oracle sử dụng mã hóa mạng gốc Oracle với phiên bản CSDL. Bạn chỉ cần thêm tùy chọn mã hóa mạng gốc vào một nhóm tùy chọn và liên kết nhóm tùy chọn đó với phiên bản CSDL. Sau khi thiết lập kết nối mã hóa, dữ liệu truyền giữa Phiên bản CSDL và ứng dụng của bạn sẽ được mã hóa trong quá trình truyền dữ liệu. Bạn cũng có thể yêu cầu phiên bản CSDL của mình chỉ chấp nhận các kết nối mã hóa.

Amazon RDS được tích hợp với Quản lý danh tính và truy cập (IAM) trong AWS và cho phép bạn kiểm soát các hành động mà người dùng và nhóm AWS IAM có thể thực hiện trên các tài nguyên cụ thể (ví dụ: Phiên bản CSDL, Ảnh chụp nhanh CSDL, Nhóm thông số CSDL, Đăng ký sự kiện CSDL và Nhóm tùy chọn CSDL). Ngoài ra, bạn có thể gắn thẻ các tài nguyên và kiểm soát những hành động mà người dùng và nhóm IAM có thể thực hiện đối với các nhóm tài nguyên có cùng thẻ (và giá trị thẻ). Để biết thêm thông tin về tích hợp IAM, hãy xem tài liệu Xác thực cơ sở dữ liệu IAM.

Bạn cũng có thể gắn thẻ các tài nguyên Amazon RDS và kiểm soát những hành động mà người dùng và nhóm IAM có thể thực hiện đối với các nhóm tài nguyên có cùng thẻ và giá trị liên quan. Ví dụ: bạn có thể cấu hình quy tắc IAM để đảm bảo nhà phát triển có thể chỉnh sửa phiên bản cơ sở dữ liệu "Phát triển", nhưng chỉ Quản trị viên cơ sở dữ liệu mới có thể thực hiện các thay đổi đối với các phiên bản cơ sở dữ liệu "Sản xuất".

Khi bạn lần đầu tiên tạo Phiên bản CSDL trong Amazon RDS, bạn sẽ tạo tài khoản người dùng chính, tài khoản này chỉ được sử dụng trong ngữ cảnh Amazon RDS để kiểm soát truy cập vào (các) Phiên bản CSDL của bạn. Tài khoản người dùng chính là tài khoản người dùng cơ sở dữ liệu gốc cho phép bạn đăng nhập vào Phiên bản CSDL của mình với tất cả các đặc quyền cơ sở dữ liệu. Bạn có thể chỉ định tên người dùng chính và mật khẩu mà bạn muốn liên kết với mỗi Phiên bản CSDL khi tạo Phiên bản CSDL. Sau khi tạo Phiên bản CSDL, bạn có thể kết nối đến cơ sở dữ liệu bằng thông tin chứng thực người dùng chính. Sau đó, bạn có thể tạo thêm tài khoản người dùng để có thể giới hạn đối tượng được phép truy cập vào Phiên bản CSDL của bạn.

Sử dụng Đám mây riêng ảo (VPC) của Amazon, bạn có thể cách ly Phiên bản CSDL trên mạng ảo của riêng bạn và kết nối đến cơ sở hạ tầng CNTT hiện có của bạn bằng cách sử dụng VPN IPSec được mã hóa theo tiêu chuẩn ngành.

Amazon VPC cho phép bạn cách ly Phiên bản CSDL bằng cách chỉ định dải IP bạn muốn sử dụng và kết nối với cơ sở hạ tầng CNTT hiện có của bạn thông qua VPN IPsec được mã hóa theo tiêu chuẩn ngành. Chạy Amazon RDS trong VPC cho phép bạn có phiên bản CSDL trong mạng con riêng. Bạn cũng có thể thiết lập một cổng riêng ảo để mở rộng mạng doanh nghiệp sang VPC và cho phép truy cập vào phiên bản CSDL Amazon RDS trên VPC đó. Tham khảo Hướng dẫn sử dụng Amazon VPC để biết thêm chi tiết. Có thể truy cập Phiên bản CSDL được triển khai trong một Amazon VPC từ Internet hoặc từ Phiên bản Amazon EC2 bên ngoài VPC qua VPN hoặc các máy chủ pháo đài mà bạn có thể khởi chạy trên mạng con công cộng của mình. Để sử dụng máy chủ pháo đài, bạn cần thiết lập một mạng con công cộng có phiên bản EC2 hoạt động như một Pháo đài SSH. Mạng con công cộng này phải có một cổng Internet và quy tắc định tuyến cho phép chuyển hướng lưu lượng qua máy chủ SSH mà sau đó phải chuyển tiếp các yêu cầu đến địa chỉ IP riêng của phiên bản CSDL Amazon RDS của bạn. Các nhóm bảo mật CSDL có thể được sử dụng để giúp bảo mật Phiên bản CSDL trong Amazon VPC. Ngoài ra, lưu lượng truy cập mạng đi vào và đi ra khỏi mỗi mạng con có thể được cho phép hoặc từ chối thông qua ACL mạng. Tất cả lưu lượng truy cập mạng đi vào hoặc đi ra khỏi Amazon VPC của bạn thông qua kết nối VPN IPsec có thể được kiểm tra bởi cơ sở hạ tầng bảo mật tại chỗ của bạn, bao gồm tường lửa mạng và hệ thống phát hiện xâm nhập.

Ngoài các mối đe dọa bảo mật bên ngoài, cơ sở dữ liệu được quản lý cần cung cấp khả năng bảo vệ chống lại rủi ro nội bộ từ quản trị viên cơ sở dữ liệu (DBA). Luồng hoạt động cơ sở dữ liệu, hiện được hỗ trợ cho Amazon Aurora và Amazon RDS dành cho Oracle, cung cấp luồng dữ liệu thời gian thực của hoạt động cơ sở dữ liệu trong cơ sở dữ liệu quan hệ của bạn. Khi được tích hợp với các công cụ giám sát hoạt động cơ sở dữ liệu của bên thứ 3, bạn có thể giám sát và kiểm tra hoạt động cơ sở dữ liệu để cung cấp các biện pháp bảo vệ cho cơ sở dữ liệu của mình và đáp ứng các yêu cầu tuân thủ và quy định.

Luồng hoạt động cơ sở dữ liệu bảo vệ cơ sở dữ liệu của bạn khỏi các mối đe dọa nội bộ bằng cách triển khai mô hình bảo vệ để kiểm soát truy cập của DBA vào luồng hoạt động cơ sở dữ liệu. Do đó, hoạt động thu thập, truyền, lưu trữ và xử lý tiếp theo của luồng hoạt động cơ sở dữ liệu nằm ngoài quyền truy cập của các DBA phụ trách quản lý cơ sở dữ liệu.

Luồng được chuyển đến luồng dữ liệu Amazon Kinesis được tạo thay mặt cho cơ sở dữ liệu của bạn. Từ Firehose dữ liệu Kinesis, luồng hoạt động cơ sở dữ liệu sau đó có thể được sử dụng bởi Amazon CloudWatch hoặc bởi các ứng dụng đối tác để quản lý tuân thủ, chẳng hạn như IBM Security Guardium. Các ứng dụng đối tác này có thể sử dụng thông tin luồng hoạt động cơ sở dữ liệu để tạo cảnh báo và cung cấp khả năng kiểm tra tất cả hoạt động trên cơ sở dữ liệu Amazon Aurora của bạn.

Bạn có thể tìm hiểu thêm về cách sử dụng Luồng hoạt động cơ sở dữ liệu cho các phiên bản Aurora tương thích với PostgreSQL và MySQL trong trang tài liệu và cho Amazon RDS dành cho Oracle trong trang tài liệu.

Amazon RDS cam kết cung cấp cho khách hàng một khung tuân thủ mạnh mẽ cùng với các công cụ và biện pháp bảo mật nâng cao mà khách hàng có thể sử dụng để đánh giá, đáp ứng và chứng minh sự tuân thủ các yêu cầu pháp lý và quy định hiện hành. Khách hàng nên xem lại Mô hình trách nhiệm chung AWS và ánh xạ giữa trách nhiệm của Amazon RDS và trách nhiệm của khách hàng. Khách hàng cũng có thể sử dụng AWS Artifact để truy cập các báo cáo kiểm tra của RDS và tiến hành đánh giá trách nhiệm kiểm soát.

Để biết thêm thông tin, vui lòng truy cập Trang tuân thủ AWS.

Đám mây riêng ảo (VPC) của Amazon là gì và dịch vụ này hoạt động như thế nào với Amazon RDS?
Amazon VPC cho phép bạn tạo môi trường kết nối mạng ảo trên một phần riêng tư, tách biệt của đám mây AWS. Tại đây, bạn có quyền kiểm soát hoàn toàn đối với các khía cạnh như dải địa chỉ IP riêng, mạng con, bảng định tuyến và cổng mạng. Với Amazon VPC, bạn có thể xác định một cấu trúc mạng ảo và tùy chỉnh cấu hình mạng cho giống nhất với một mạng IP truyền thống mà bạn có thể vận hành tại trung tâm dữ liệu của chính bạn.

Bạn có thể tận dụng VPC trong trường hợp bạn muốn chạy một ứng dụng web công khai nhưng vẫn cần duy trì các máy chủ backend không cho phép truy cập công khai trên một mạng con riêng. Bạn có thể tạo một mạng con công khai cho các máy chủ web có kết nối với Internet, rồi đặt các Phiên bản CSDL Amazon RDS backend lên một mạng con cá nhân không có kết nối với Internet. Để biết thêm thông tin về Amazon VPC, hãy tham khảo Hướng dẫn sử dụng Đám mây riêng ảo của Amazon.

Sử dụng Amazon RDS bên trong một VPC có gì khác so với khi sử dụng trên nền tảng EC2-Classic (phi VPC)?
Nếu tài khoản AWS của bạn được tạo trước ngày 04/12/2013, bạn có thể chạy Amazon RDS trong môi trường Đám mây điện toán linh hoạt (EC2)-Classic của Amazon. Chức năng cơ bản của Amazon RDS giống nhau bất kể sử dụng EC2-Classic hay EC2-VPC. Amazon RDS quản lý các bản sao lưu, vá lỗi phần mềm, tự động phát hiện sự cố, bản sao chỉ đọc và khôi phục cho dù Phiên bản CSDL của bạn được triển khai bên trong hay bên ngoài VPC. Để biết thêm thông tin về sự khác biệt giữa EC2-Classic và EC2-VPC, hãy tham khảo tài liệu về EC2.

Nhóm mạng con CSDL là gì và tại sao tôi cần có một nhóm?
Nhóm mạng con CSDL là một tập hợp các mạng con mà bạn muốn chỉ định cho Phiên bản CSDL Amazon RDS của bạn trong một VPC. Mỗi Nhóm mạng con CSDL cần có tối thiểu một mạng con cho mỗi Vùng sẵn sàng trong một Khu vực cụ thể. Khi tạo một Phiên bản CSDL trong VPC, bạn cần chọn một Nhóm mạng con DB. Amazon RDS khi đó sử dụng Nhóm mạng con DB đó và Vùng sẵn sàng mong muốn của bạn để chọn một mạng con và một địa chỉ IP bên trong mạng con đó. Amazon RDS sẽ tạo và liên kết một Giao diện mạng linh hoạt với Phiên bản CSDL của bạn bằng địa chỉ IP đó.

Xin lưu ý rằng bạn nên sử dụng Tên DNS để kết nối tới Phiên bản CSDL do địa chỉ IP cơ sở có thể thay đổi (ví dụ như trong quá trình chuyển đổi dự phòng).

Đối với triển khai Nhiều vùng sẵn sàng, việc xác định một mạng con cho tất cả các Vùng sẵn sàng trong một khu vực sẽ cho phép Amazon RDS tạo một bản dự phòng mới ở Vùng sẵn sàng khác nếu phát sinh nhu cầu. Bạn cần làm việc này cho cả các triển khai Một vùng sẵn sàng, phòng trường hợp bạn cần chuyển đổi chúng thành các triển khai Nhiều vùng sẵn sàng vào thời điểm nào đó.

Làm thế nào để tạo một Phiên bản CSDL Amazon RDS trên VPC?
Để biết quy trình hướng dẫn chi tiết cho quá trình này, tham khảo phần Tạo Phiên bản CSDL trên VPC trong Hướng dẫn sử dụng Amazon RDS.

Làm thế nào để kiểm soát truy cập mạng đến (các) Phiên bản CSDL của tôi?
Truy cập phần Nhóm bảo mật của Hướng dẫn sử dụng Amazon RDS để tìm hiểu về những cách kiểm soát truy cập vào Phiên bản CSDL của bạn.

Làm thế nào để kết nối với một Phiên bản CSDL Amazon RDS trên VPC?
Có thể truy cập Phiên bản CSDL được triển khai trên một VPC bằng Phiên bản EC2 được triển khai trên cùng VPC đó. Nếu các Phiên bản EC2 này được triển khai trên một mạng con công cộng có các IP linh hoạt được liên kết, bạn có thể truy cập Phiên bản EC2 qua Internet. Có thể truy cập Phiên bản CSDL được triển khai trong một VPC từ Internet hoặc từ Phiên bản EC2 bên ngoài VPC qua VPN hoặc các máy chủ pháo đài mà bạn có thể khởi chạy trên mạng con công cộng của mình hoặc sử dụng tùy chọn Truy cập công khai của Amazon RDS:

• Để sử dụng máy chủ pháo đài, bạn cần thiết lập một mạng con công cộng có phiên bản EC2 hoạt động như một Pháo đài SSH. Mạng con công cộng này phải có một cổng Internet và quy tắc định tuyến cho phép chuyển hướng lưu lượng qua máy chủ SSH mà sau đó phải chuyển tiếp các yêu cầu đến địa chỉ IP riêng của phiên bản CSDL Amazon RDS của bạn.
• Để sử dụng kết nối công cộng, chỉ cần tạo Phiên bản CSDL với tùy chọn Có thể truy cập công khai được đặt thành có. Khi kích hoạt tùy chọn Công chúng có thể truy cập, Phiên bản CSDL của bạn trên một VPC mặc định có thể truy cập được đầy đủ từ bên ngoài VPC của bạn. Điều này có nghĩa là bạn không cần cấu hình VPN hay máy chủ pháo đài để cho phép truy cập vào phiên bản của bạn. 

Bạn cũng có thể thiết lập một Cổng VPN để mở rộng mạng doanh nghiệp sang VPC và cho phép truy cập vào phiên bản CSDL Amazon RDS trên VPC đó. Tham khảo Hướng dẫn sử dụng Amazon VPC để biết thêm chi tiết.

Bạn nên sử dụng Tên DNS để kết nối Phiên bản CSDL vì địa chỉ IP cơ sở có thể thay đổi (ví dụ: trong quá trình chuyển đổi dự phòng).

Tôi có thể di chuyển phiên bản CSDL hiện có của tôi từ bên ngoài VPC vào VPC của mình không?
Nếu phiên bản CSDL của bạn không nằm trong một VPC, bạn có thể sử dụng Bảng điều khiển quản lý AWS để dễ dàng di chuyển phiên bản CSDL của bạn sang một VPC. Tham khảo Hướng dẫn dành cho người dùng Amazon RDS để biết thêm chi tiết. Bạn cũng có thể tạo một bản kết xuất nhanh của Phiên bản CSDL bên ngoài VPC và khôi phục nó sang VPC bằng cách xác định Nhóm mạng con DB bạn muốn sử dụng. Hoặc, bạn cũng có thể thực hiện thao tác “Phục hồi về thời điểm trước đó”.

Tôi có thể di chuyển phiên bản CSDL hiện có của tôi từ bên trong VPC ra ngoài VPC không?
Chúng tôi không hỗ trợ di chuyển Phiên bản CSDL từ bên trong ra ngoài VPC. Vì lý do bảo mật, không được khôi phục một Ảnh chụp nhanh CSDL của Phiên bản CSDL bên trong VPC ra bên ngoài VPC. Quy định này cũng áp dụng với chức năng “Phục hồi về thời điểm trước đó”. 

Tôi cần lưu ý những gì để đảm bảo có thể truy cập Phiên bản CSDL của tôi trên VPC từ ứng dụng của tôi?
Bạn chịu trách nhiệm điều chỉnh các bảng định tuyến và ACL kết nối mạng trên VPC của mình để đảm bảo các phiên bản máy khách có thể truy cập vào phiên bản CSDL của bạn trên VPC. Đối với triển khai Nhiều vùng sẵn sàng, sau quá trình chuyển đổi dự phòng, phiên bản EC2 máy khách và Phiên bản CSDL Amazon RDS của bạn có thể nằm ở các Vùng sẵn sàng khác nhau. Bạn cần cấu hình các ACL kết nối mạng để đảm bảo có thể kết nối giữa các Vùng sẵn sàng.

Tôi có thể thay đổi Nhóm mạng con CSDL của Phiên bản CSDL của mình không?
Có thể cập nhật Nhóm mạng con CSDL hiện có để bổ sung thêm mạng con, cho các Vùng sẵn sàng hiện có hoặc cho các Vùng sẵn sàng mới được bổ sung kể từ khi tạo Phiên bản CSDL. Việc gỡ mạng con khỏi một Nhóm mạng con CSDL hiện tại có thể làm các phiên bản mất độ sẵn sàng nếu chúng đang chạy trên một Vùng sẵn sàng cụ thể bị gỡ khỏi nhóm mạng con. Hãy xem Hướng dẫn sử dụng Amazon RDS để biết thêm thông tin.

Thế nào là tài khoản người dùng chính Amazon RDS và tài khoản này khác gì với tài khoản AWS?
Để bắt đầu sử dụng Amazon RDS, bạn cần có một tài khoản nhà phát triển AWS. Nếu bạn không có tài khoản này trước khi đăng ký Amazon RDS, bạn sẽ được nhắc tạo một tài khoản khi bắt đầu quá trình đăng ký. Tài khoản người dùng chính khác với tài khoản nhà phát triển AWS và chỉ được dùng trong môi trường Amazon RDS để kiểm soát truy cập đến (các) Phiên bản CSDL của bạn. Tài khoản người dùng chính là một tài khoản người dùng cơ sở dữ liệu gốc mà bạn có thể dùng để kết nối đến Phiên bản CSDL của mình. 

Bạn có thể chỉ định tên người dùng chính và mật khẩu mà bạn muốn liên kết với mỗi Phiên bản CSDL khi tạo Phiên bản CSDL. Sau khi tạo Phiên bản CSDL, bạn có thể kết nối đến cơ sở dữ liệu bằng thông tin xác thực người dùng chính. Sau đó, bạn cũng có thể phải tạo thêm tài khoản người dùng để có thể giới hạn đối tượng được phép truy cập vào Phiên bản CSDL của bạn.

Người dùng chính cho Phiên bản CSDL của tôi được cấp những đặc quyền gì?
Đối với MySQL, đặc quyền mặc định cho người dùng chính gồm có: tạo, thả, tham chiếu, tạo sự kiện, thay đổi, xóa, lập chỉ mục, chèn, chọn, cập nhật, tạo bảng tạm thời, khóa bảng, kích hoạt, tạo lượt xem, hiển thị lượt xem, thay đổi thủ tục, tạo thủ tục, thực thi, kích hoạt, tạo người dùng, xử lý, hiển thị cơ sở dữ liệu, cấp tùy chọn.

Đối với Oracle, người dùng chính được cấp vai trò "dba". Người dùng chính kế thừa phần lớn các đặc quyền tương ứng với vai trò đó. Vui lòng tham khảo Hướng dẫn sử dụng Amazon RDS để biết danh sách các đặc quyền giới hạn và lựa chọn thay thế tương ứng để thực hiện các tác vụ quản trị có thể cần đến các đặc quyền này.

Đối với SQL Server, người dùng tạo ra cơ sở dữ liệu được cấp vai trò "db_owner". Vui lòng tham khảo Hướng dẫn sử dụng Amazon RDS để biết danh sách các đặc quyền giới hạn và các lựa chọn thay thế tương ứng để thực hiện các tác vụ quản trị có thể cần đến các đặc quyền này.

Có bất kỳ sự khác biệt gì về công tác quản lý người dùng bằng Amazon RDS không?
Không, mọi thứ hoạt động tương tự như khi sử dụng cơ sở dữ liệu quan hệ do chính bạn quản lý.

Chương trình chạy trên máy chủ tại trung tâm dữ liệu của chính tôi có thể truy cập cơ sở dữ liệu Amazon RDS không?
Có. Bạn phải bật tính năng truy cập đến cơ sở dữ liệu của bạn qua Internet bằng cách cấu hình Nhóm bảo mật. Bạn chỉ có thể cấp quyền truy cập cho những IP, dải IP hoặc mạng con cụ thể tương ứng với các máy chủ tại trung tâm dữ liệu của chính bạn.

Tôi có thể mã hóa kết nối giữa ứng dụng và Phiên bản CSDL của mình bằng SSL/TLS không?
Có, tùy chọn này được hỗ trợ cho tất cả công cụ Amazon RDS. Amazon RDS tạo một chứng chỉ SSL/TLS cho mỗi Phiên bản CSDL. Sau khi thiết lập kết nối mã hóa, dữ liệu truyền giữa Phiên bản CSDL và ứng dụng của bạn sẽ được mã hóa trong quá trình truyền dữ liệu. Mặc dù SSL có nhiều lợi ích bảo mật, bạn nên biết rằng mã hóa SSL/TLS là một hoạt động tốn nhiều tài nguyên điện toán và sẽ làm tăng độ trễ kết nối cơ sở dữ liệu của bạn. Hỗ trợ SSL/TLS trên Amazon RDS là để mã hóa kết nối giữa ứng dụng và Phiên bản CSDL của bạn; không nên lệ thuộc vào cơ chế này để xác thực Phiên bản CSDL.

Để biết chi tiết về cách thiết lập kết nối mã hóa với Amazon RDS, vui lòng truy cập Hướng dẫn sử dụng MySQL, Hướng dẫn sử dụng MariaDB, Hướng dẫn sử dụng PostgreSQL hoặc Hướng dẫn sử dụng Oracle của Amazon RDS.

Tôi có thể mã hóa dữ liệu đang được lưu trữ trên cơ sở dữ liệu Amazon RDS của mình không?
Amazon RDS hỗ trợ mã hóa dữ liệu đang được lưu trữ cho tất cả các công cụ cơ sở dữ liệu bằng khóa do bạn quản lý thông qua Dịch vụ quản lý khóa (KMS) của AWS. Trên một phiên bản cơ sở dữ liệu đang chạy với mã hóa Amazon RDS, dữ liệu được lưu và không còn hoạt động trên lưu trữ chính được mã hóa giống như các bản sao lưu tự động, bản sao chỉ có quyền đọc và bản kết xuất nhanh của phiên bản cơ sở dữ liệu đó. Mã hóa và giải mã được xử lý một cách minh bạch. Để biết thêm thông tin về cách sử dụng KMS với Amazon RDS, hãy tham khảo Hướng dẫn sử dụng Amazon RDS.

Bạn cũng có thể thêm mã hóa cho một phiên bản CSDL chưa được mã hóa trước đó hoặc cụm CSDL bằng cách tạo một ảnh chụp nhanh CSDL rồi sau đó tạo một bản sao của ảnh chụp nhanh đó và chỉ định một khóa mã hóa KMS. Sau đó, bạn có thể khôi phục một phiên bản CSDL được mã hóa hoặc cụm CSDL từ ảnh chụp nhanh được mã hóa.

Amazon RDS dành cho Oracle và SQL Server hỗ trợ công nghệ Mã hóa dữ liệu minh bạch (TDE) của các công cụ này. Để biết thêm thông tin, hãy tham khảo Hướng dẫn sử dụng Amazon RDS cho Oracle và SQL Server.

Hỏi: Tôi có thể tích hợp với cơ sở dữ liệu Amazon RDS dành cho Oracle với AWS CloudHSM không?
Không, phiên bản Oracle trên Amazon RDS không thể tích hợp với AWS CloudHSM. Để sử dụng mã hóa dữ liệu minh bạch (TDE) với AWS CloudHSM, cơ sở dữ liệu Oracle cần được cài đặt trên Amazon EC2.

Làm thế nào để kiểm soát các hành động mà hệ thống và người dùng của tôi có thể thực hiện đối với các tài nguyên Amazon RDS cụ thể?
Bạn có thể kiểm soát các hoạt động mà người dùng và nhóm AWS IAM có thể thực hiện đối với tài nguyên Amazon RDS. Bạn thực hiện việc này bằng cách tham chiếu các tài nguyên Amazon RDS theo chính sách AWS IAM mà bạn áp dụng với người dùng và nhóm của mình. Tài nguyên Amazon RDS mà bạn có thể tham chiếu theo chính sách IAM của AWS gồm có phiên bản CSDL, bản kết xuất nhanh CSDL, bản sao chỉ đọc, nhóm bảo mật CSDL, nhóm tùy chọn CSDL, nhóm thông số CSDL, gói đăng ký sự kiện và nhóm mạng con CSDL. 

Ngoài ra, bạn có thể gắn thẻ các tài nguyên này để thêm siêu dữ liệu bổ sung vào tài nguyên của bạn. Bằng cách gắn thẻ, bạn có thể phân loại tài nguyên của mình (ví dụ: Phiên bản CSDL “Phát triển”, Phiên bản CSDL “Sản xuất” và Phiên bản CSDL “Kiểm thử”) và viết các chính sách AWS IAM có quy định phân quyền (ví dụ: hoạt động) có thể thực hiện đối với tài nguyên bằng cùng một thẻ. Để biết thêm thông tin, hãy tham khảo Gắn thẻ tài nguyên Amazon RDS.

Tôi muốn thực hiện phân tích bảo mật hoặc khắc phục sự cố vận hành khi triển khai Amazon RDS. Tôi có thể lấy lịch sử của tất cả các lệnh gọi API Amazon RDS trên tài khoản của mình không?
Có. AWS CloudTrail là dịch vụ web ghi lại các lệnh gọi API AWS cho tài khoản của bạn và gửi cho bạn tệp bản ghi. Lịch sử lệnh gọi API AWS do CloudTrail tạo ra cho phép thực hiện phân tích bảo mật, theo dõi thay đổi tài nguyên và kiểm tra tuân thủ. 

Tôi có thể sử dụng Amazon RDS với những ứng dụng yêu cầu tuân thủ HIPAA không?
Có, tất cả các công cụ cơ sở dữ liệu Amazon RDS đều đủ điều kiện HIPAA nên bạn có thể sử dụng chúng để xây dựng các ứng dụng tuân thủ HIPAA và lưu trữ thông tin liên quan đến chăm sóc sức khỏe, bao gồm cả thông tin sức khỏe được bảo vệ (PHI) theo Thỏa thuận hợp tác kinh doanh (BAA) đã ký với AWS.

Nếu có BAA đã ký, bạn không cần phải làm gì thêm để bắt đầu sử dụng các dịch vụ này trên (các) tài khoản thuộc phạm vi của BAA. Nếu bạn chưa có BAA đã ký với AWS hoặc có bất kỳ câu hỏi nào về ứng dụng tuân thủ HIPAA trên AWS, vui lòng liên hệ với
người quản lý tài khoản của bạn.