Bewährte Methoden für vorbeugende Sicherheitsmaßnahmen für Aurora DSQL - Amazon Aurora DSQL

Bewährte Methoden für vorbeugende Sicherheitsmaßnahmen für Aurora DSQL

Zusätzlich zu den folgenden Methoden zur sicheren Verwendung von Aurora DSQL finden Sie unter Sicherheit in AWS Well-Architected Tool mehr darüber, wie Cloud-Technologien Ihre Sicherheit verbessern.

Verwenden von IAM-Rollen zum Authentifizieren des Zugriffs auf Aurora DSQL

Benutzer, Anwendungen und andere AWS-Services, die auf Aurora DSQL zugreifen, müssen gültige AWS-Anmeldeinformationen in AWS-API und AWS CLI-Anfragen angeben. Sie sollten AWS-Anmeldeinformationen nicht direkt in der Anwendung oder EC2-Instances speichern. Es handelt sich hierbei um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden. Wenn diese Anmeldeinformationen kompromittiert werden, kann dies erhebliche geschäftliche Auswirkungen nach sich ziehen. Mit einer IAM-Rolle können Sie temporäre Zugriffsschlüssel abrufen, mit denen Sie auf AWS-Services und Ressourcen zugreifen können.

Weitere Informationen finden Sie unter Authentifizierung und Autorisierung für Aurora DSQL.

Verwenden von IAM-Richtlinien für die Aurora DSQL-Basisautorisierung

Beim Erteilen von Berechtigungen entscheiden Sie, wer sie erhält, für welche Aurora DSQL-API-Operationen Berechtigungen erteilt werden und welche spezifischen Aktionen Sie für diese Ressourcen zulassen möchten. Die Implementierung der geringsten Rechte ist der Schlüssel zur Verringerung des Sicherheitsrisikos und der Auswirkungen, die sich aus Fehlern oder böswilligen Absichten ergeben können.

Fügen Sie Berechtigungsrichtlinien zu IAM-Rollen hinzu und erteilen Sie Berechtigungen zur Ausführung von Operationen auf Aurora DSQL-Ressourcen. Weiterhin sind Berechtigungsgrenzen für IAM-Entitäten verfügbar, mit denen Sie die maximalen Berechtigungen festlegen, die eine identitätsbasierte Richtlinie einer IAM-Entität gewähren kann.

Ähnlich wie bei den bewährten Methoden für den Root-Benutzer für Ihr AWS-Konto sollten Sie die admin-Rolle in Aurora DSQL nicht für alltägliche Aufgaben verwenden. Stattdessen empfehlen wir, benutzerdefinierte Datenbankrollen zu erstellen, um Ihren Cluster zu verwalten und eine Verbindung herzustellen. Weitere Informationen finden Sie unter Zugreifen auf Aurora DSQL und Grundlegendes zur Authentifizierung und Autorisierung für Aurora DSQL.

Einsatz von verify-full in Produktionsumgebungen

Diese Einstellung überprüft, ob das Serverzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde und ob der Server-Hostname mit dem Zertifikat übereinstimmt.

Aktualisieren Ihres PostgreSQL-Clients

Aktualisieren Sie Ihren PostgreSQL-Client regelmäßig auf die neueste Version, um von Sicherheitsverbesserungen zu profitieren. Wir empfehlen die Verwendung von PostgreSQL Version 17.