資料安全最佳實務

三節點企業系列（原金融版）執行個體

為進一步滿足業務情境中高可靠性和資料安全需求，RDS提供三節點企業系列執行個體，採用一主兩備的三節點架構，通過多副本同步複製，確保資料的強一致性，提供金融級的可靠性。

您可以在建立執行個體時選擇三節點企業系列，詳情請參見（廢棄，重新導向到“第一步”）快速建立RDS MySQL執行個體。

多可用性區域

RDS每個地區都包含多個可用性區域。同一個地區中的可用性區域都被設計為相互之間網路延遲很小（3ms以內）以及故障隔離的單元。多可用性區域執行個體將物理伺服器部署在不同的可用性區域，當可用性區域A出現故障時流量可以在短時間內切換到另一個可用性區域B。整個切換過程對使用者透明，應用代碼無需變更。

您可以在建立執行個體時選擇多可用性區域，詳情請參見（廢棄，重新導向到“第一步”）快速建立RDS MySQL執行個體。

已建立的執行個體如果是單可用性區域，可以遷移至多可用性區域（需要當前有多可用性區域資源）。

跨地區災備執行個體

RDS通過Data Transmission Service實現主執行個體和異地災備執行個體之間的即時同步。主執行個體和災備執行個體均搭建主備高可用架構，當主執行個體發生突發性自然災害等狀況，主節點（Master）和備節點（Slave）均無法串連時，您可以將異地災備執行個體切換為主執行個體，在應用端修改資料庫連接地址後，即可快速恢複應用的業務訪問。

操作詳情請參見建立異地災備執行個體。

跨地區備份

RDS提供跨地區備份功能，可以自動將本地備份檔案複製到另一個地區的OSS上，跨地區的資料備份可以用於監管和容災恢複。跨地區備份獨立於執行個體，執行個體釋放後仍會按照您設定的保留時間進行保留。

操作詳情請參見跨地區備份。

RAM使用者授權

使用存取控制RAM（Resource Access Management），您可以建立和管理RAM使用者，控制RAM使用者對您名下資源的操作許可權。當企業多使用者協同操作時，RAM可按需分配最小許可權，避免共用雲帳號密鑰，降低資訊安全風險。詳情請參見RAM資源授權。

禁止建立磁碟未加密的RDS執行個體

通過配置RAM權限原則，防止該使用者建立未加密的RDS執行個體。詳情請參見通過RAM權限原則限制RAM使用者權限。

資料庫帳號授權

RDS可根據業務需求授權資料庫帳號管理資料庫。

您可以直接在控制台建立帳號並授權管理資料庫，詳情請參見第一步：快捷建立RDS MySQL執行個體與設定資料庫。

如需帳號管理特定表，可通過SQL命令授權，詳情請參見限制帳號只能訪問指定表、視圖、欄位。

專用網路

RDS支援多種網路類型，推薦使用專用網路。

專用網路是一種隔離的網路環境，安全性和效能均高於傳統的傳統網路。專用網路需要事先建立，詳情請參見建立專用網路。

如果RDS執行個體為傳統網路，您可以切換至專用網路，詳情請參見更改網路類型。若已是專用網路，則無需配置。

白名單

建立RDS執行個體後，需要設定RDS執行個體的白名單，以允許外部裝置訪問該RDS執行個體。詳情請參見第二步：串連RDS MySQL執行個體。

SQL洞察

SQL洞察功能提供安全審計和效能診斷服務。詳情請參見SQL洞察。

日誌管理

您可以在控制台的日誌管理頁面查詢執行個體的錯誤記錄檔、慢日誌明細和慢日誌統計，協助您定位故障。詳情請參見查看錯誤記錄檔和慢日誌。

歷史事件

開啟後可查看使用者和阿里雲的營運動作記錄，如建立執行個體、修改參數。詳情請參見歷史事件。

SSL加密

在通過公網串連資料庫時，您可以啟用SSL（Secure Sockets Layer）加密，並安裝SSL CA認證到需要的應用服務。SSL在傳輸層對網路連接進行加密，能提升通訊資料的安全性和完整性，但會增加網路連接回應時間。詳情請參見設定SSL加密。

透明資料加密

透明資料加密TDE（Transparent Data Encryption）可對資料檔案執行即時I/O加密和解密，資料在寫入磁碟之前進行加密，從磁碟讀入記憶體時解密。TDE不會增加資料檔案的大小，開發人員無需更改任何應用程式即可使用。詳情請參見設定透明資料加密TDE。