Amazon RDS Security - есть ли альтернатива шифрованию в покое?

При использовании провайдера облачных БД, такого как сервис Amazon RDS, сервис отвечает за различные вещи, такие как исправление / обновление / резервное копирование и т. Д. Означает ли это, что сотрудники Amazon имеют доступ к данным в самой БД?

Если да, есть ли способ гарантировать, что сотрудники провайдера не имеют доступа - потенциально использовать данные неправильно?

Один из известных мне способов заключается в использовании шифрования в состоянии покоя, т.е. мое приложение шифрует конфиденциальные данные перед сохранением в БД и дешифрует их при извлечении. Тем не менее, это не только накладные расходы с точки зрения производительности, но и требует изменений в самом приложении.

Я предполагаю, что большинство клиентов, которые рассматривают возможность использования службы облачных БД, вероятно, воспримут это как свою первую проблему, но я почему-то не могу получить какой-либо конкретный ответ на этот вопрос из примечаний по безопасности Amazon help / RDS.

Примечание. Хотя я понимаю, что это не совсем вопрос программирования, но я чувствую, что он недостаточно универсален для программистов, поэтому я публикую его здесь.