أمان HAQM RDS
HAQM RDS هي خدمة قاعدة بيانات ارتباطية مُدارة توفر لك ثمانية محركات قواعد بيانات مألوفة للاختيار من بينها، بما في ذلك HAQM Aurora PostgreSQL-Compatible Edition، وHAQM Aurora MySQL-Compatible Edition، وRDS for PostgreSQL، وRDS for MySQL، وRDS for MariaDB، وRDS for SQL Server، وRDS for Oracle، وRDS for Db2.
توفر HAQM RDS وHAQM Aurora مجموعة من الميزات لضمان تخزين بياناتك والوصول إليها بشكل آمن. قم بتشغيل قاعدة البيانات الخاصة بك في سحابة HAQM الخاصة الافتراضية (VPC) للعزل على مستوى الشبكة. استخدم مجموعات الأمان للتحكم في عناوين IP أو مثيلات HAQM EC2 التي يمكنها الاتصال بقواعد البيانات الخاصة بك. يمنع جدار الحماية المدمج هذا أي وصول إلى قاعدة البيانات إلا من خلال القواعد التي تحددها.
استخدم سياسات AWS لإدارة الهوية والوصول (IAM) لتعيين الأذونات التي تحدد من يُسمح له بإدارة موارد HAQM RDS. استخدم ميزات الأمان لمحرك قاعدة البيانات للتحكم في من يمكنه تسجيل الدخول إلى قواعد البيانات، تمامًا كما تفعل إذا كانت قاعدة البيانات موجودة على شبكتك المحلية. يمكنك أيضًا تعيين مستخدمي قاعدة البيانات لأدوار IAM للوصول الموحد.
استخدم اتصالات طبقة مآخذ التوصيل الآمنة/أمن طبقة النقل (SSL/TLS) لتشفير البيانات المتنقلة. قم بتشفير تخزين قاعدة البيانات والنسخ الاحتياطية في حالة عدم الاستخدام باستخدام خدمة إدارة المفاتيح (KMS). راقب نشاط قاعدة البيانات واندمج مع تطبيقات أمان قواعد بيانات الشركاء باستخدام تدفقات نشاط قاعدة البيانات.
تشفير البيانات في وقت عدم النشاط
تقوم HAQM RDS بتشفير قواعد البيانات الخاصة بك باستخدام المفاتيح التي تديرها من خلال خدمة إدارة مفاتيح AWS (KMS). في مثيل قاعدة بيانات يعمل باستخدام تشفير HAQM RDS، يتم تشفير البيانات المخزنة في أثناء عدم النشاط في التخزين الأساسي كما يتم تخزين النسخ الاحتياطية التلقائية واستنساخات القراءة واللقطات. تشفير HAQM RDS يستخدم خوارزمية التشفير AES-256 القياسية في الصناعة لتشفير بياناتك على الخادم الذي يستضيف مثيل HAQM RDS الخاص بك.
تدعم HAQM RDS أيضًا تشفير البيانات الشفاف (TDE) لـ SQL Server (إصدار SQL Server Enterprise والإصدار القياسي) وOracle (خيار الأمان المتقدم من Oracle في إصدار Oracle Enterprise). باستخدام TDE، يقوم خادم قاعدة البيانات تلقائيًا بتشفير البيانات قبل كتابتها للتخزين وفك تشفير البيانات تلقائيًا عند قراءتها من التخزين.
تقدم HAQM RDS إرشادات لأفضل الممارسات عن طريق تحليل التكوين ومقاييس الاستخدام من مثيلات قاعدة بياناتك. تغطي التوصيات مجالات مثل الأمان والتشفير وIAM وVPC. يمكنك تصفح التوصيات المتاحة واتخاذ الإجراء الموصى به فورًا أو تحديد موعد دورة صيانتها التالية أو رفضها بالكامل.
تشفير البيانات المتنقلة
قم بتشفير الاتصالات بين تطبيقك ومثيل DB الخاص بك باستخدام SSL/TLS. تقوم HAQM RDS بإنشاء شهادة SSL وتثبيت الشهادة على مثيل DB عند توفير المثيل. بالنسبة إلى MySQL، يمكنك تشغيل عميل mysql باستخدام المعلمة ssl_ca-- للإشارة إلى المفتاح العام من أجل تشفير الاتصالات. بالنسبة لـ SQL Server، قم بتنزيل المفتاح العام واستيراد الشهادة إلى نظام تشغيل Windows. تستخدم RDS for Oracle تشفير شبكة Oracle الأصلي مع مثيل DB. يمكنك ببساطة إضافة خيار تشفير الشبكة الأصلي إلى مجموعة خيارات وربط مجموعة الخيارات هذه بمثيل DB. بمجرد إنشاء اتصال مشفر، سيتم تشفير البيانات المنقولة بين مثيل DB وتطبيقك المتنقِّل. يمكنك أيضًا أن تطلب من مثيل DB قبول الاتصالات المشفرة فقط.
التحكم في الوصول
تتكامل HAQM RDS مع إدارة الهوية والوصول في AWS (IAM) ويوفر لك القدرة على التحكم في الإجراءات التي يمكن لمستخدمي AWS IAM والمجموعات اتخاذها على موارد محددة (على سبيل المثال، مثيلات DB ونُسخ DB ومجموعات معايير DB واشتراكات أحداث DB ومجموعات خيارات DB). بالإضافة إلى ذلك، يمكنك وضع علامة على مواردك والتحكم في الإجراءات التي يمكن لمستخدمي IAM والمجموعات اتخاذها على مجموعات الموارد التي لها نفس العلامة (وقيمة العلامة). لمزيد من المعلومات حول تكامل IAM، راجع وثائق مصادقة قاعدة بيانات IAM.
يمكنك أيضًا وضع علامة على موارد HAQM RDS والتحكم في الإجراءات التي يستطيع مستخدمو ومجموعات IAM اتخاذها مع مجموعات الموارد التي لها نفس العلامة والقيمة المرتبطة. يمكنك مثلاً تكوين قواعدك على IAM لضمان أن يتمكن المطورون من تعديل مثيلات قاعدة بيانات «التطوير»، لكنَّ مسؤولي قواعد البيانات فقط يستطيعون إجراء تغييرات في مثيلات قاعدة بيانات «الإنتاج».
عند إنشاء مثيل DB لأول مرة داخل HAQM RDS، ستقوم بإنشاء حساب مستخدم أساسي، والذي يتم استخدامه فقط في سياق HAQM RDS للتحكم في الوصول إلى مثيل (مثيلات) DB. حساب المستخدم الأساسي هو حساب مستخدم قاعدة بيانات أصلي يسمح لك بتسجيل الدخول إلى مثيل DB مع جميع امتيازات قاعدة البيانات. يمكنك تحديد اسم المستخدم الأساسي وكلمة المرور اللذين تريد ربطهما بكل مثيل DB عند إنشاء مثيل DB. بمجرد إنشاء مثيل DB الخاص بك، يمكنك الاتصال بقاعدة البيانات باستخدام بيانات اعتماد المستخدم الأساسية. بعد ذلك، يمكنك إنشاء حسابات مستخدمين إضافية بحيث يمكنك تقييد من يمكنه الوصول إلى مثيل DB الخاص بك.
عزل الشبكة وجدار حماية قاعدة البيانات
باستخدام السحابة الخاصة الافتراضية بـ HAQM (VPC)، يمكنك عزل مثيلات قاعدة بياناتك في شبكتك الافتراضية الخاصة والاتصال بالبنية التحتية الحالية لتكنولوجيا المعلومات باستخدام IPSec VPN مشفرة متوائمة مع معايير الصناعة.
تتيح لك HAQM VPC عزل مثيلات DB عن طريق تحديد نطاق IP الذي ترغب في استخدامه والاتصال بالبنية التحتية لتكنولوجيا المعلومات الحالية من خلال IPsec VPN المشفر وفقًا لمعايير الصناعة. تشغيل HAQM RDS في سحابة VPC يتيح لك الحصول على مثيل DB داخل شبكة فرعية خاصة. يمكنك أيضًا إعداد بوابة خاصة افتراضية تعمل على توسيع شبكة شركتك إلى سحابة VPC، وتسمح بالوصول إلى مثيل HAQM RDS DB في سحابة VPC هذه. راجع دليل مستخدم HAQM VPC لمزيد من التفاصيل. يمكن الوصول إلى مثيلات DB المنشورة داخل HAQM VPC من الإنترنت أو من مثيلات HAQM EC2 خارج VPC عبر VPN أو مضيفات الحصن (bastion hosts) التي يمكنك تشغيلها في الشبكة الفرعية العامة الخاصة بك. لاستخدام مضيف bastion host، ستحتاج إلى إعداد شبكة فرعية عامة بمثيل EC2 يعمل بمثابة SSH Bastion. يجب أن تحتوي هذه الشبكة الفرعية العامة على بوابة إنترنت وقواعد توجيه تسمح بتوجيه حركة المرور عبر مضيف SSH، والذي يجب عليه بعد ذلك إعادة توجيه الطلبات إلى عنوان IP الخاص لمثيل HAQM RDS DB الخاص بك. يمكن استخدام مجموعات أمان DB للمساعدة في تأمين مثيلات DB داخل HAQM VPC. بالإضافة إلى ذلك، يمكن السماح بحركة مرور الشبكة التي تدخل وتخرج من كل شبكة فرعية أو رفضها عبر قوائم ACL للشبكة. يمكن فحص جميع حركات مرور الشبكة التي تدخل أو تخرج من HAQM VPC عبر اتصال IPsec VPN من خلال البنية التحتية الأمنية المحلية، بما في ذلك جدران حماية الشبكة وأنظمة كشف التسلل.
تدفقات نشاط قاعدة البيانات
بالإضافة إلى التهديدات الأمنية الخارجية، تحتاج قواعد البيانات المُدارة إلى توفير الحماية ضد المخاطر الداخلية من مسؤولي قواعد البيانات (DBAs). تدفقات نشاط قاعدة البيانات، المدعومة حاليًا لـ HAQM Aurora وHAQM RDS for Oracle، توفر تدفق بيانات في الوقت الفعلي لنشاط قاعدة البيانات في قاعدة البيانات الارتباطية الخاصة بك. عند التكامل مع أدوات مراقبة نشاط قاعدة البيانات التابعة لجهات خارجية، يمكنك مراقبة نشاط قاعدة البيانات وتدقيقه لتوفير ضمانات لقاعدة البيانات الخاصة بك وتلبية متطلبات الامتثال والمتطلبات التنظيمية.
تحمي تدفقات نشاط قاعدة البيانات قاعدة البيانات الخاصة بك من التهديدات الداخلية من خلال تنفيذ نموذج حماية يتحكم في وصول DBA إلى تدفق نشاط قاعدة البيانات. وبالتالي، فإن جمع تدفق نشاط قاعدة البيانات ونقله وتخزينه ومعالجته اللاحقة يتجاوز وصول مسؤولي قواعد البيانات (DBAs) الذين يديرون قاعدة البيانات.
يتم دفع البث إلى دفق بيانات HAQM Kinesis الذي تم إنشاؤه نيابة عن قاعدة البيانات الخاصة بك. من Kinesis Data Firehose، يمكن بعد ذلك استهلاك تدفق نشاط قاعدة البيانات بواسطة HAQM CloudWatch أو من خلال التطبيقات الشريكة لإدارة الامتثال، مثل IBM Security Guardium. يمكن لتطبيقات الشركاء هذه استخدام معلومات تدفق نشاط قاعدة البيانات لإنشاء تنبيهات وتوفير تدقيق لجميع الأنشطة على قاعدة بيانات HAQM Aurora الخاصة بك.
يمكنك معرفة المزيد حول استخدام تدفقات نشاط قاعدة البيانات لإصدارات Aurora المتوافقة مع PostgreSQL وMySQL في صفحة الوثائق ولـ HAQM RDS for Oracle في صفحة الوثائق.
«تستقي حماية بيانات Imperva خلاصات من أحداث AWS Database Activity Stream (DAS) (بالإضافة إلى العديد من مصادر AWS الأخرى)، مما يضيف سياقًا أمنيًا من خلال تحليلات قوية مصممة خصيصًا لهذا الغرض. تكتشف Imperva الأنشطة الضارة وسلوكيات التهرب وإساءة استخدام الامتيازات التي قد تكون مؤشرات على الحسابات المخترقة وعناصر التهديد الداخلي. وتشمل المزايا الإضافية استكشاف البيانات التفاعلية والأتمتة الغنية الجاهزة والاستجابة المدمجة من خلال أدلة التشغيل التي تقلل التكلفة الإجمالية للملكية وتسد الفجوات في المهارات التي تواجهها معظم الشركات عند الانتقال إلى السحابة.» - Dan Neault، نائب الرئيس الأول والمدير العام (SVP and GM) في قسم Data Security BU بشركة Imperva.
لمعرفة المزيد، يرجى زيارة صفحة أمان بيانات Imperva.
«يساعد IBM Security® Guardium® Data Protection على ضمان أمان وخصوصية وسلامة البيانات الهامة عبر مجموعة كاملة من البيئات - من قواعد البيانات إلى البيانات الضخمة والبيئات السحابة/المختلطة وأنظمة الملفات وغيرها. نحن متحمسون للتكامل مع AWS Database Activity Streams (DAS). وسيتيح هذا التكامل لعملائنا المشتركين رؤية شبه فورية لنشاط قاعدة البيانات، وسيمكنهم من تحديد التهديدات بسرعة واتخاذ نهج استراتيجي متسق لحماية البيانات عبر البيئات المحلية والسحابية.» — Benazeer Daruwalla، مديرة العروض (Offering Manager)، محفظة حماية البيانات، IBM Security.
لمعرفة المزيد، يرجى زيارة صفحة أمان IBM.
الامتثال
تلتزم HAQM RDS بتوفير إطار عمل قوي للامتثال للعملاء وأدوات متطورة وتدابير أمنية يمكن للعملاء استخدامها لتقييم الامتثال للشروط القانونية والتنظيمية المعمول بها والوفاء بها وإظهارها. يجب على العملاء مراجعة نموذج المسؤولية المشتركة من AWS وتحديد مسؤوليات HAQM RDS ومسؤوليات العملاء. يمكن للعملاء أيضًا استخدام AWS Artifact للوصول إلى تقارير تدقيق RDS وإجراء تقييمهم لمسؤوليات التحكم.
لمزيد من المعلومات، يرجى زيارة صفحة الامتثال من AWS.
الأسئلة الشائعة
ما هي سحابة HAQM الخاصة الافتراضية (VPC) وكيف تعمل مع HAQM RDS؟
يتيح لك HAQM VPC إنشاء بيئة شبكات افتراضية في قسم خاص ومعزول من سحابة AWS حيث يمكنك التحكم بشكل كامل في الجوانب، مثل نطاقات عناوين IP الخاصة والشبكات الفرعية وجداول التوجيه وبوابات الشبكة. باستخدام HAQM VPC، يمكنك تحديد هيكل الشبكة الافتراضية وتخصيص تكوين الشبكة لتشبه إلى حد كبير شبكة IP التقليدية التي قد تعمل في مركز البيانات الخاص بك.
إحدى الطرق التي يمكنك من خلالها الاستفادة من VPC هي عندما تريد تشغيل تطبيق ويب عام مع الحفاظ على خوادم خلفية غير متاحة للجمهور في شبكة فرعية خاصة. يمكنك إنشاء شبكة فرعية عامة لخوادم الويب الخاصة بك التي يمكنها الوصول إلى الإنترنت، ووضع مثيلات HAQM RDS DB الخلفية في شبكة فرعية خاصة بدون اتصال بالإنترنت. لمزيد من المعلومات حول HAQM VPC، راجع دليل مستخدم السحابة الخاصة الافتراضية بـ HAQM.
كيف يختلف استخدام HAQM RDS داخل VPC عن استخدامه على نظام EC2-Classic (مختلف عن سحابة VPC)؟
إذا تم إنشاء حساب AWS الخاص بك قبل 4-12-2013، فقد تتمكن من تشغيل HAQM RDS في بيئة HAQM Elastic Compute Cloud (EC2)-Classic. الوظيفة الأساسية لـ HAQM RDS هي نفسها بغض النظر عما إذا كان يتم استخدام EC2-Classic أو EC2-VPC. تدير HAQM RDS النسخ الاحتياطية وتصحيح البرامج والكشف التلقائي عن الأعطال وقراءة النسخ المتماثلة والاسترداد سواء تم نشر مثيلات DB الخاصة بك داخل VPC أو خارجها. لمزيد من المعلومات حول الاختلافات بين EC2-Classic وEC2-VPC، راجع وثائق EC2.
ما هي مجموعة DB Subnet Group ولماذا أحتاج إليها؟
مجموعة DB Subnet Group هي مجموعة من الشبكات الفرعية التي قد ترغب في تعيينها لمثيلات HAQM RDS DB الخاصة بك في VPC. يجب أن تحتوي كل مجموعة شبكة فرعية DB على شبكة فرعية واحدة على الأقل لكل منطقة توفر خدمات في منطقة معينة. عند إنشاء مثيل DB في VPC، ستحتاج إلى تحديد مجموعة DB Subnet Group. بعد ذلك HAQM RDS تستخدم مجموعة DB Subnet Group ومنطقة التوفر المفضلة لديك لتحديد شبكة فرعية وعنوان IP داخل تلك الشبكة الفرعية. تقوم HAQM RDS بإنشاء وربط واجهة شبكة مرنة بمثيل DB الخاص بك باستخدام عنوان IP هذا.
يرجى ملاحظة أننا نوصي بشدة باستخدام اسم DNS للاتصال بمثيل DB الخاص بك حيث يمكن تغيير عنوان IP الأساسي (على سبيل المثال، أثناء تجاوز الفشل).
بالنسبة لعمليات نشر مناطق توافر خدمات متعددة (Multi-AZ)، فإن تحديد شبكة فرعية لجميع مناطق توافر الخدمات في المنطقة سيسمح لـ HAQM RDS بإنشاء وضع استعداد جديد في منطقة توافر خدمات أخرى إذا دعت الحاجة إلى ذلك. تحتاج إلى القيام بذلك حتى بالنسبة لعمليات النشر التي تتم في منطقة توافر واحدة (Single-AZ)، فقط في حالة رغبتك في تحويلها إلى عمليات نشر متعددة AZ في مرحلة ما.
كيف أقوم بإنشاء مثيل HAQM RDS DB في VPC؟
للحصول على إجراء يرشدك خلال هذه العملية، راجع إنشاء مثيل DB في VPC في دليل مستخدم HAQM RDS.
كيف يمكنني التحكم في وصول الشبكة إلى مثيل (مثيلات) DB؟
قم بزيارة قسم مجموعات الأمان في دليل مستخدم HAQM RDS للتعرف على الطرق المختلفة للتحكم في الوصول إلى مثيلات DB الخاصة بك.
كيف يمكنني الاتصال بمثيل HAQM RDS DB في VPC؟
يمكن الوصول إلى مثيلات DB التي تم نشرها داخل VPC بواسطة مثيلات EC2 المنتشرة في نفس VPC. إذا تم نشر مثيلات EC2 هذه في شبكة فرعية عامة مع عناوين IP المرنة المرتبطة، فيمكنك الوصول إلى مثيلات EC2 عبر الإنترنت. يمكن الوصول إلى مثيلات DB المنشورة داخل VPC من الإنترنت أو من مثيلات EC2 خارج VPC عبر VPN أو bastion hosts التي يمكنك تشغيلها في شبكتك الفرعية العامة أو باستخدام خيار HAQM RDS الذي يمكن الوصول إليه بشكل عام:
- لاستخدام مضيف bastion host، ستحتاج إلى إعداد شبكة فرعية عامة بمثيل EC2 يعمل بمثابة SSH Bastion. يجب أن تحتوي هذه الشبكة الفرعية العامة على بوابة إنترنت وقواعد توجيه تسمح بتوجيه حركة المرور عبر مضيف SSH، والذي يجب عليه بعد ذلك إعادة توجيه الطلبات إلى عنوان IP الخاص لمثيل HAQM RDS DB الخاص بك.
- لاستخدام الاتصال العام، ما عليك سوى إنشاء مثيلات DB الخاصة بك مع تعيين خيار الوصول العام إلى «نعم». مع تنشيط الوصول العام، ستكون مثيلات DB الخاصة بك داخل VPC قابلة للوصول بالكامل خارج VPC بشكل افتراضي. هذا يعني أنك لست بحاجة إلى تكوين VPN أو مضيف bastion host للسماح بالوصول إلى المثيلات الخاصة بك.
يمكنك أيضًا إعداد بوابة VPN التي تعمل على توسيع شبكة شركتك إلى سحابة VPC الخاصة بك وتسمح بالوصول إلى مثيل HAQM RDS DB في سحابة VPC هذه. راجع دليل مستخدم HAQM VPC لمزيد من التفاصيل.
نوصي بشدة باستخدام اسم DNS للاتصال بمثيل DB الخاص بك حيث يمكن تغيير عنوان IP الأساسي (على سبيل المثال، أثناء تجاوز الفشل).
هل يمكنني نقل مثيلات DB الحالية خارج VPC إلى سحابة VPC الخاصة بي؟
إذا لم يكن مثيل DB الخاص بك موجودًا في VPC، فيمكنك استخدام وحدة تحكم إدارة AWS لنقل مثيل DB الخاص بك بسهولة إلى VPC. راجع دليل مستخدم HAQM RDS لمزيد من التفاصيل. يمكنك أيضًا عمل نسخة احتياطية من مثيل DB الخاص بك خارج VPC واستعادته إلى VPC عن طريق تحديد مجموعة DB Subnet Group التي تريد استخدامها. بدلاً من ذلك، يمكنك تنفيذ عملية «الاستعادة إلى النقطة الزمنية» أيضًا.
هل يمكنني نقل مثيلات DB الحالية من داخل VPC إلى خارج VPC؟
لا يتم دعم ترحيل مثيلات DB من داخل VPC إلى خارجها. لأسباب تتعلق بالأمان، لا يمكن استعادة DB Snapshot من مثيل DB داخل VPC إلى VPC خارجي. وينطبق الشيء نفسه مع وظيفة «الاستعادة إلى النقطة الزمنية».
ما الاحتياطات التي يجب اتخاذها لضمان إمكانية الوصول إلى مثيلات DB الخاصة بي في VPC من خلال تطبيقي؟
أنت مسؤول عن تعديل جداول التوجيه وقوائم ACL الخاصة بالشبكات في سحابة VPC الخاصة بك لضمان إمكانية الوصول إلى مثيل DB من مثيلات العميل في VPC. بالنسبة لعمليات نشر مناطق توافر خدمات متعددة (Multi-AZ)، بعد تجاوز الفشل، قد يكون مثيل EC2 الخاص بالعميل ومثيل HAQM RDS DB في مناطق توافر خدمات مختلفة. يجب تكوين قوائم ACL الخاصة بالشبكات لضمان إمكانية الاتصال عبر مناطق التوافر.
هل يمكنني تغيير مجموعة DB Subnet Group لمثيل DB الخاص بي؟
يمكن تحديث مجموعة DB Subnet Group الحالية لإضافة المزيد من الشبكات الفرعية، إما لمناطق التوافر الحالية أو لمناطق التوافر الجديدة المضافة منذ إنشاء مثيل DB. يمكن أن تتسبب إزالة الشبكات الفرعية من مجموعة DB Subnet Group الموجودة في عدم توفر المثيلات إذا كانت تعمل في منطقة توافر معينة تتم إزالتها من مجموعة الشبكة الفرعية. راجع دليل مستخدم HAQM RDS لمزيد من المعلومات.
ما هو حساب المستخدم الأساسي لـ HAQM RDS وكيف يختلف عن حساب AWS؟
لبدء استخدام HAQM RDS، ستحتاج إلى حساب مطور AWS. إذا لم يكن لديك حساب قبل الاشتراك في HAQM RDS، فستتم مطالبتك بإنشاء حساب عند بدء عملية التسجيل. يختلف حساب المستخدم الأساسي عن حساب مطور AWS ويُستخدم فقط في سياق HAQM RDS للتحكم في الوصول إلى مثيل (مثيلات) DB الخاص بك. حساب المستخدم الأساسي هو حساب مستخدم قاعدة بيانات أصلي يمكنك استخدامه للاتصال بمثيل DB الخاص بك.
يمكنك تحديد اسم المستخدم الأساسي وكلمة المرور اللذين تريد ربطهما بكل مثيل DB عند إنشاء مثيل DB. بمجرد إنشاء مثيل DB الخاص بك، يمكنك الاتصال بقاعدة البيانات باستخدام بيانات اعتماد المستخدم الأساسية. بعد ذلك، قد ترغب أيضًا في إنشاء حسابات مستخدمين إضافية حتى تتمكن من تقييد من يمكنه الوصول إلى مثيل DB الخاص بك.
ما الامتيازات الممنوحة للمستخدم الأساسي لمثيل DB الخاص بي؟
بالنسبة إلى MySQL، تتضمن الامتيازات الافتراضية للمستخدم الأساسي: الإنشاء، والإسقاط، والمراجع، والحدث، والتعديل، والحذف، والفهرسة، والإدراج، والتحديد، والتحديث، وإنشاء جداول مؤقتة، وقفل الجداول، والتشغيل، وإنشاء عرض، وعرض العرض، وتغيير الروتين، وإنشاء روتين، والتنفيذ، والتشغيل، وإنشاء مستخدم، وإجراء عملية، وإظهار قواعد البيانات، وخيار المنح.
بالنسبة إلى Oracle، يتم منح المستخدم الأساسي دور «dba». يرث المستخدم الأساسي معظم الامتيازات المرتبطة بالدور. يرجى الرجوع إلى دليل مستخدم HAQM RDS للحصول على قائمة الامتيازات المقيدة والبدائل المقابلة لأداء المهام الإدارية التي قد تتطلب هذه الامتيازات.
بالنسبة لـ SQL Server، يتم منح المستخدم الذي يقوم بإنشاء قاعدة بيانات دور «db_owner». يرجى الرجوع إلى دليل مستخدم HAQM RDS للحصول على قائمة الامتيازات المقيدة والبدائل المقابلة لأداء المهام الإدارية التي قد تتطلب هذه الامتيازات.
هل هناك أي شيء مختلف حول إدارة المستخدم مع HAQM RDS؟
لا، كل شيء يعمل بالطريقة التي تعرفها عند استخدام قاعدة بيانات علائقية تديرها بنفسك.
هل يمكن للبرامج التي تعمل على الخوادم في مركز البيانات الخاص بي الوصول إلى قواعد بيانات HAQM RDS؟
نعم. يجب عليك تشغيل القدرة على الوصول إلى قاعدة البيانات الخاصة بك عن قصد عبر الإنترنت من خلال تكوين مجموعات الأمان. يمكنك السماح بالوصول إلى عناوين IP المحددة أو نطاقات IP أو الشبكات الفرعية المقابلة للخوادم في مركز البيانات الخاص بك فقط.
هل يمكنني تشفير الاتصالات بين تطبيقي ومثيل DB الخاص بي باستخدام SSL/TLS؟
نعم، هذا الخيار مدعوم لجميع محركات HAQM RDS. تقوم HAQM RDS بإنشاء شهادة SSL/TLS لكل مثيل DB. بمجرد إنشاء اتصال مشفر، سيتم تشفير البيانات المنقولة بين مثيل DB وتطبيقك المتنقِّل. بينما توفر SSL مزايا الأمان، يجب أن تدرك أن تشفير SSL/TLS هو عملية تتطلب الكثير من الحوسبة وستزيد من زمن انتقال اتصال قاعدة البيانات الخاصة بك. دعم SSL/TLS داخل HAQM RDS مخصص لتشفير الاتصال بين التطبيق الخاص بك ومثيل DB الخاص بك؛ لا ينبغي الاعتماد عليه لمصادقة مثيل DB نفسه.
للحصول على تفاصيل حول إنشاء اتصال مشفر مع HAQM RDS، يرجى زيارة دليل مستخدم HAQM RDS MySQL أو دليل مستخدم MariaDB أو دليل مستخدم PostgreSQL أو دليل مستخدم Oracle.
هل يمكنني تشفير البيانات غير النشطة على قواعد بيانات HAQM RDS الخاصة بي؟
تدعم HAQM RDS تشفير البيانات غير النشطة لجميع محركات قواعد البيانات، وذلك باستخدام المفاتيح التي تديرها باستخدام خدمة خدمة إدارة المفاتيح من AWS (KMS). في مثيل قاعدة بيانات يعمل باستخدام تشفير HAQM RDS، يتم تشفير البيانات المخزنة في أثناء عدم النشاط في التخزين الأساسي كما يتم تخزين النسخ الاحتياطية التلقائية واستنساخات القراءة واللقطات. يتم التعامل مع التشفير وفك التشفير بشفافية. لمزيد من المعلومات حول استخدام KMS مع HAQM RDS، راجع دليل مستخدم HAQM RDS.
يمكنك أيضًا إضافة تشفير إلى مثيل DB غير مشفر مسبقًا أو مجموعة DB عن طريق إنشاء لقطة DB ثم إنشاء نسخة من تلك اللقطة وتحديد مفتاح تشفير KMS. يمكنك بعد ذلك استعادة مثيل DB مشفر أو مجموعة DB من اللقطة المشفرة.
تدعم خدمة HAQM RDS for Oracle وSQL Server تقنيات تشفير البيانات الشفافة (TDE) لهذه المحركات. لمزيد من المعلومات، راجع دليل مستخدم HAQM RDS لـOracle وSQL Server.
س: هل يمكنني التكامل مع قاعدة بيانات HAQM RDS for Oracle باستخدام AWS CloudHSM؟
لا، لا يمكن دمج مثيل Oracle على HAQM RDS باستخدام AWS CloudHSM. لاستخدام تشفير البيانات الشفاف (TDE) باستخدام AWS CloudHSM، يجب تثبيت قاعدة بيانات Oracle على HAQM EC2.
كيف يمكنني التحكم في الإجراءات التي يمكن لأنظمتي والمستخدمين اتخاذها على موارد HAQM RDS المحددة؟
يمكنك التحكم في الإجراءات التي يمكن لمستخدمي ومجموعات AWS IAM اتخاذها على موارد HAQM RDS. يمكنك القيام بذلك من خلال الرجوع إلى موارد HAQM RDS في سياسات AWS IAM التي تطبقها على المستخدمين والمجموعات. تتضمن موارد HAQM RDS التي يمكن الرجوع إليها في سياسة AWS IAM مثيلات قاعدة البيانات ولقطات قاعدة البيانات وقراءة النسخ المتماثلة ومجموعات أمان قاعدة البيانات ومجموعات خيارات قاعدة البيانات ومجموعات معايير قاعدة البيانات واشتراكات الأحداث ومجموعات الشبكة الفرعية لقاعدة البيانات.
بالإضافة إلى ذلك، يمكنك وضع علامة على هذه الموارد لإضافة بيانات تعريف إضافية إلى الموارد الخاصة بك. باستخدام العلامات (tagging)، يمكنك تصنيف مواردك (على سبيل المثال. مثيلات Development» DB» ومثيلات Production» DB» ومثيلات Test» DB») وكتابة سياسات AWS IAM التي تسرد الأذونات (أي الإجراءات) التي يمكن اتخاذها على الموارد التي تحمل نفس العلامات. لمزيد من المعلومات، راجع وضع علامات على موارد HAQM RDS.
أرغب في إجراء تحليل الأمان أو استكشاف الأخطاء وإصلاحها التشغيلية على نشر HAQM RDS الخاص بي. هل يمكنني الحصول على سجل لجميع استدعاءات HAQM RDS API التي أجريت على حسابي؟
نعم. AWS CloudTrail عبارة عن خدمة شبكة تسجل عمليات استدعاء واجهة برمجة تطبيقات (API) AWS لحسابك وتوفر ملفات السجلات لك. يتيح سجل استدعاءات AWS API الذي تنتجه CloudTrail تحليل الأمان وتتبع تغيير الموارد ومراجعة الامتثال.
هل يمكنني استخدام HAQM RDS مع التطبيقات التي تتطلب التوافق مع HIPAA؟
نعم، جميع محركات قواعد بيانات HAQM RDS مؤهلة لقانون HIPAA، لذا يمكنك استخدامها لإنشاء تطبيقات متوافقة مع HIPAA وتخزين المعلومات المتعلقة بالرعاية الصحية، بما في ذلك المعلومات الصحية المحمية (PHI) بموجب اتفاقية شركاء الأعمال (BAA) المنفذة مع AWS.
إذا كان لديك بالفعل اتفاقية BAA تم تنفيذها، فلا يلزم اتخاذ أي إجراء لبدء استخدام هذه الخدمات في الحساب (الحسابات) الذي تغطيه اتفاقية BAA. إذا لم يكن لديك اتفاقية BAA تم تنفيذها مع AWS، أو كانت لديك أي أسئلة أخرى حول التطبيقات المتوافقة مع HIPAA على AWS، فيرجى الاتصال
بمدير حسابك.
