主要观点：企业数据解决方案在各种云服务平台中不断发展，数据从业者有责任用安全措施保障环境。本文介绍在 AWS 中实施安全协议的框架及在不同数据库服务（Redshift、Glue、DynamoDB、Aurora）中的实现方法。
关键信息：

• 安全框架的七个支柱：身份与访问控制、数据分类与目录治理、网络与周边安全、按需加密、秘密与凭证管理、监控检测与审计、策略即代码。

• 各数据库服务的安全实施步骤：

  • AWS Glue + Lake Formation：分类数据、基于标签控制访问、应用行级过滤和列掩码、保障 Glue 作业安全、保持目录和 ETL 卫生。
  • Amazon Redshift：网络与加密、身份与 SSO、细粒度控制、审计与日志。
  • Amazon DynamoDB：项级权限、私有访问与加密、弹性与生命周期、审计、流与集成。
  • Amazon Aurora：网络与端点、加密与 TLS、身份与凭证、数据库级治理、审计、备份恢复。
• AWS 安全框架备忘单：展示各控制在不同数据库服务中的应用情况。
  重要细节：
• 身份与访问控制通过 IAM 身份中心/SSO 集中身份，用 IAM 角色实施最小特权原则，可利用基于属性的访问控制。
• 数据分类与目录治理在数据湖中给数据集贴标签，驱动标签访问控制，维护列级元数据。
• 网络与周边安全确保数据在私有安全路径中传输，数据库置于私有网络，使用特殊连接和加密。
• 按需加密根据数据分类用 KMS 等加密，不同敏感程度数据采用不同加密方式。
• 秘密与凭证管理不用代码存储密码，在 Secrets Manager 中管理，使用临时密钥。
• 监控检测与审计通过 CloudTrail 记录动作，GuardDuty 监测异常，数据库自身审计日志等。
• 策略即代码将云策略作为代码管理，使用工具检查安全性，设置审批步骤。