RDS & Aurora Security

RDS & Aurora Security

• 저장된 데이터 암호화 가능 → 볼륨에 암호화 된다
• KMS를 사용해 마스터와 모든 복제본의 암호화가 이루어지고 처음 실행할 때 정의된다
• 메인 DB를 암호화하지 않았다면 읽기 전용 또한 암호화 불가
• 암호화 되지 않은 기존 db를 암호화 하려면 암호화 되지 않은 db의 스냅샷을 가져와 암호화된 형태로 데이터베이스 스냅샷을 복원하야 한다
  • 기존 db 스냅샷 생성 → 복원하는 과정에서 암호화를 시켜야 함
• 전송 중 암호화 : 클라이언트와 DB간 암호화 TLS 기능이 기본. 클라이언트는 AWS에서 제공하는 TLS 루트 인증서를 사용해야 함
• IAM 인증 : IAM 역할을 사용해서 DB 접근 가능
• 보안 그룹: 네트워크 엑세스 통제 가능 포트, IP 차단
• ssh 불가능하지만 RDS를 커스텀 하면 가능
• audit log를 통해 어떤 쿼리가 실행되는지 확인 가능하며 장기간 보관도 가능