Если RDSADMIN создан AWS, сможет ли Amazon получить доступ к нашей базе данных и данным?

Question

Я создал новый экземпляр базы данных в AWS RDS. Он создал базу данных по умолчанию как RDSADMIN. Я создал еще одну БД для своего проекта ... но мой вопрос в том, может ли Amazon напрямую получить доступ к моим новым данным БД с технической точки зрения?

Answer 1

Поскольку Amazon может (и выполняет) запуск модифицированных версий программного обеспечения сервера баз данных, технически ничто не мешает им получить доступ ко всем вашим данным. Шифрование на месте и в пути не имеет значения, поскольку данные должны быть расшифрованы на сервере для обработки SQL. Единственный технический способ гарантировать, что Amazon не сможет получить доступ к вашим данным, - это использовать шифрование на стороне клиента для отдельных полей (что, конечно, впоследствии не может быть легко использовано для условий запроса SQL).

При этом существуют юридические и репутационные ограничения, которые мешают Amazon сделать это. Однако эти ограничения не распространяются на случаи, когда закон обязывает Amazon предоставлять доступ к вашим данным государственным органам.

Answer 2

Технически они могут, но это не значит, что они делают.Кроме того, каждый может использовать собственный главный ключ для шифрования на месте / в пути.

Вы можете выбрать шифрование данных, хранящихся в вашем экземпляре Amazon RDS DB, с помощью главного ключа клиента (CMK).в AWS KMS

См .: https://docs.aws.amazon.com/kms/latest/developerguide/services-rds.html