Bewährte Methoden zur präventiven Sicherheit für Aurora DSQL - Amazon Aurora DSQL

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden zur präventiven Sicherheit für Aurora DSQL

Zusätzlich zu den folgenden Möglichkeiten zur sicheren Verwendung von Aurora DSQL finden Sie unter Sicherheit in AWS Well-Architected Tool mehr darüber, wie Cloud-Technologien Ihre Sicherheit verbessern.

Verwenden Sie IAM-Rollen, um den Zugriff auf Aurora DSQL zu authentifizieren.

Benutzer, Anwendungen und andere, AWS-Services die auf Aurora DSQL zugreifen, müssen gültige AWS Anmeldeinformationen in der AWS API und in den AWS CLI Anfragen angeben. Sie sollten AWS Anmeldeinformationen nicht direkt in der Anwendung oder den EC2 Instanzen speichern. Dabei handelt es sich um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden. Wenn diese Anmeldeinformationen kompromittiert werden, hat dies erhebliche Auswirkungen auf das Geschäft. Mit einer IAM-Rolle können Sie temporäre Zugriffsschlüssel abrufen, mit denen Sie auf Ressourcen zugreifen AWS-Services können.

Weitere Informationen finden Sie unter Authentifizierung und Autorisierung für Aurora DSQL.

Verwenden Sie IAM-Richtlinien für die Aurora DSQL-Basisautorisierung.

Wenn Sie Berechtigungen gewähren, entscheiden Sie, wer sie erhält, für welche Aurora DSQL-API-Operationen sie Berechtigungen erhalten und welche spezifischen Aktionen Sie für diese Ressourcen zulassen möchten. Die Implementierung der geringsten Rechte ist der Schlüssel zur Verringerung des Sicherheitsrisikos und der Auswirkungen, die sich aus Fehlern oder böswilligen Absichten ergeben können.

Hängen Sie Berechtigungsrichtlinien an IAM-Rollen an und gewähren Sie Berechtigungen zur Ausführung von Vorgängen auf Aurora DSQL-Ressourcen. Ebenfalls verfügbar sind Berechtigungsgrenzen für IAM-Entitäten, mit denen Sie die maximalen Berechtigungen festlegen können, die eine identitätsbasierte Richtlinie einer IAM-Entität gewähren kann.

Ähnlich wie bei den bewährten Methoden für Root-Benutzer AWS-Konto sollten Sie die admin Rolle in Aurora DSQL nicht für alltägliche Operationen verwenden. Stattdessen empfehlen wir Ihnen, benutzerdefinierte Datenbankrollen zu erstellen, um Ihren Cluster zu verwalten und eine Verbindung zu ihm herzustellen. Weitere Informationen finden Sie unter Zugreifen auf Aurora DSQL und Grundlegendes zur Authentifizierung und Autorisierung für Aurora DSQL.

Einsatz verify-full in Produktionsumgebungen.

Mit dieser Einstellung wird überprüft, ob das Serverzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert ist und ob der Serverhostname mit dem Zertifikat übereinstimmt.

Aktualisieren Sie Ihren PostgreSQL-Client

Aktualisieren Sie Ihren PostgreSQL-Client regelmäßig auf die neueste Version, um von Sicherheitsverbesserungen zu profitieren. Wir empfehlen die Verwendung von PostgreSQL Version 17.