Prácticas recomendadas de seguridad preventiva para Aurora DSQL - Amazon Aurora DSQL

Prácticas recomendadas de seguridad preventiva para Aurora DSQL

Además de las siguientes formas de utilizar Aurora DSQL de forma segura, consulte Seguridad en AWS Well-Architected Tool para obtener información sobre cómo las tecnologías en la nube mejoran la seguridad.

Use roles de IAM para autenticar el acceso a Aurora DSQL.

Los usuarios, las aplicaciones y demás Servicios de AWS que accedan a Aurora DSQL deben incluir credenciales de AWS válidas en la API de AWS y en las solicitudes de la AWS CLI. No debe almacenar las credenciales de AWS de forma directa en la aplicación ni en las instancias EC2. Se trata de credenciales a largo plazo que no se rotan automáticamente. Existe un impacto empresarial significativo si estas credenciales se ven comprometidas. Un rol de IAM le permite obtener claves de acceso temporal que puede utilizar para acceder a los recursos y los Servicios de AWS.

Para obtener más información, consulte Autenticación y autorización para Aurora DSQL.

Use políticas de IAM para la autorización de la base de Aurora DSQL.

Cuando concede permisos, usted decide quién los obtiene, para qué operaciones de la API de Aurora DSQL obtiene permisos y las acciones específicas que desea permitir en esos recursos. La implementación de privilegios mínimos es la clave a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.

Asocie políticas de permisos a los roles de IAM y conceda permisos para realizar operaciones en los recursos de Aurora DSQL. También están disponibles los límites de permisos para entidades de IAM, que le permiten establecer los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM.

De forma similar a las prácticas recomendadas para el usuario raíz de la Cuenta de AWS, no utilice el rol de admin en Aurora DSQL para realizar operaciones cotidianas. En su lugar, le recomendamos que cree roles de base de datos personalizados para administrar y conectarse al clúster. Para obtener más información, consulte Acceso a Aurora DSQL y Descripción de la autenticación y autorización para Aurora DSQL.

Use verify-full en entornos de producción.

Esta configuración comprueba que el certificado del servidor esté firmado por una autoridad de certificación de confianza y que el nombre de host del servidor coincida con el certificado.

Actualización del cliente de PostgreSQL

Actualice periódicamente el cliente de PostgreSQL a la versión más reciente para beneficiarse de las mejoras de seguridad. Recomendamos utilizar la versión 17 de PostgreSQL.