RDS & Aurora Security
- RDS 및 Aurora 데이터베이스에 저장된 데이터를 암호화 한다.
= 데이터가 볼륨에 암호화된다. - At-rest encryption
- AWS KMS를 사용하여 데이터베이스 마스터 및 복제본 암호화가 이루어진다.
: 데이터베이스를 처음 실행할 때 정의된다.
- 마스터(주 데이터베이스)가 암호화되지 않은 경우 읽기 복제본도 암호화 할 수 없다.
- 암호화되지 않은 기존 데이터베이스를 암호화하려면 데이터베이스 스냅샷을 통해 암호화된 데이터베이스 형태로 데이터베이스 스냅샷을 복원해야 한다. 따라서, 스냅샷 생성 및 복원 작업을 거쳐야 한다. - 전송중의 데이터 암호화(In-flight encryption)
- 기본적으로 전송 중 데이터 암호화 기능은 RDS와 Aurora 모두 갖추고 있다.
- 클라이언트는 AWS TLS 루트 인증서 사용하면 된다. - IAM 인증(Authentication)
- 사용자 이름/패스워드 대신 IAM 역할(Role)을 사용하여 데이터베이스에 연결이 가능하다.
: 예를 들어, EC2 인스턴스에 IAM 역할이 있다면 이를 사용해 사용자 이름이나 패스워드 없이 직접 데이터베이스를 인증할 수 있게되는 것이다.
(이는 AWS 내의 모든 보안 기능을 IAM로 관리하는데 도움이 된다.) - 보안 그룹(Security Groups)
- RDS/Aurora 데이터베이스에 대한 네트워크 액세스를 통제할 수도 있다. - SSH 액세스 불가능(No SSH available)
- RDS와 Aurora에는 SSH 액세스가 없다.
단, RDS Custom 서비스를 사용한다면 예외이다. - 감사 로그 활성화(Audit Logs can be enabled)
- 시간에 따라 RDS 및 Aurora에서 어떤 쿼리가 생성되고 있고, 데이터베이스를 확인하려면 감사 로그 작성을 활성화하면 된다.
: 로그는 시간이 지나면 자동으로 삭제된다.
- CloudWatch Logs로 전송하여 장기간 보관이 가능하다.
'AWS(Amazon Web Service)' 카테고리의 다른 글
| [AWS] ElastiCache (1) | 2024.10.12 |
|---|---|
| [AWS] RDS Proxy (1) | 2024.10.11 |
| [AWS] RDS & Aurora 백업 (1) | 2024.10.09 |
| [AWS] Aurora Replicas(복제본) (2) | 2024.10.08 |
| [AWS] Amazon Aurora (0) | 2024.10.07 |