Bonnes pratiques de sécurité pour Amazon Aurora - Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité pour Amazon Aurora

Utilisez des comptes Gestion des identités et des accès AWS (IAM) pour contrôler l'accès aux opérations de l'API Amazon RDS, en particulier aux opérations qui créent, modifient ou suppriment des ressources . Les ressources de ce type incluent les clusters de bases de données, les groupes de sécurité et les groupes de paramètres. Utilisez également IAM pour contrôler les actions qui effectuent des tâches administratives courantes telles que la sauvegarde et la restauration de clusters de bases de données.

  • Créez un utilisateur pour chaque personne qui gère les ressources Amazon Aurora, y compris vous-même. N'utilisez pas les informations d'identification AWS root pour gérer les ressources Amazon Aurora.

  • Accordez à chaque utilisateur un ensemble minimum d’autorisations requises pour exécuter ses tâches.

  • Utilisez des groupes IAM pour gérer efficacement des autorisations pour plusieurs utilisateurs.

  • Effectuer une rotation régulière des informations d’identification IAM.

  • Configurez AWS Secrets Manager pour alterner automatiquement les secrets pour Amazon Aurora. Pour plus d’informations, consultez Rotation de vos secrets AWS Secrets Manager dans le Guide de l’utilisateur AWS Secrets Manager. Vous pouvez également récupérer les informations d'identification par AWS Secrets Manager programmation. Pour plus d’informations, consultez Récupération de la valeur du secret dans le Guide de l’utilisateur AWS Secrets Manager.

Pour plus d’informations sur la sécurité dans Amazon Aurora, consultez Sécurité dans Amazon Aurora. Pour plus d’informations sur IAM, consultez Gestion des identités et des accès AWS. Pour plus d’informations sur les bonnes pratiques IAM, consultez Bonnes pratiques IAM.

AWS Security Hub CSPMutilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à vous conformer aux différents cadres de conformité. Pour plus d'informations sur l'utilisation de Security Hub CSPM pour évaluer les ressources RDS, consultez les contrôles Amazon Relational Database Service dans le guide de l'utilisateur. AWS Security Hub

Vous pouvez surveiller votre utilisation de RDS en ce qui concerne les meilleures pratiques de sécurité à l'aide de Security Hub CSPM. Pour plus d'informations, voir Qu'est-ce que c'est AWS Security Hub CSPM ? .

Utilisez l'API AWS Management ConsoleAWS CLI, la ou l'API RDS pour modifier le mot de passe de votre utilisateur principal. Si vous utilisez un autre outil, comme SQL client, pour modifier le mot de passe de l’utilisateur principal, cela pourrait finir par la révocation involontaire des privilèges de l’utilisateur.

Amazon GuardDuty est un service de surveillance continue de la sécurité qui analyse et traite diverses sources de données, y compris l'activité de connexion à Amazon RDS. Il utilise les flux de renseignements sur les menaces et le machine learning pour identifier les activités inattendues, potentiellement non autorisées, de comportement de connexion suspect et malveillantes dans votre environnement AWS.

Lorsqu'Amazon GuardDuty RDS Protection détecte une tentative de connexion potentiellement suspecte ou anormale indiquant une menace pour votre base de données, GuardDuty génère un nouveau résultat contenant des informations sur la base de données potentiellement compromise. Pour plus d’informations, consultez Surveillance des menaces avec Amazon GuardDuty RDS Protectionpour Amazon Aurora.