Bonnes pratiques de sécurité préventive pour Aurora DSQL - Amazon Aurora DSQL

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité préventive pour Aurora DSQL

Outre les méthodes suivantes pour utiliser Aurora DSQL en toute sécurité, consultez Security in AWS Well-Architected Tool pour découvrir comment les technologies cloud améliorent votre sécurité.

Utilisez les rôles IAM pour authentifier l'accès à Aurora DSQL.

Les utilisateurs, applications et autres personnes Services AWS qui accèdent à Aurora DSQL doivent inclure des AWS informations d'identification valides dans AWS l'API et les AWS CLI demandes. Vous ne devez pas stocker les AWS informations d'identification directement dans l'application ou EC2 les instances. Il s'agit d'informations d'identification à long terme qui ne font pas l'objet d'une rotation automatique. La compromission de ces informations d'identification a un impact commercial significatif. Un rôle IAM vous permet d'obtenir des clés d'accès temporaires que vous pouvez utiliser pour accéder Services AWS aux ressources.

Pour de plus amples informations, veuillez consulter Authentification et autorisation pour Aurora DSQL.

Utilisez les politiques IAM pour l'autorisation de base Aurora DSQL.

Lorsque vous accordez des autorisations, vous décidez qui les obtient, pour quelles opérations d'API Aurora DSQL elles obtiennent des autorisations et les actions spécifiques que vous souhaitez autoriser sur ces ressources. L'implémentation d'un privilège minimum est la clé de la réduction des risques de sécurité et de l'impact potentiel d'erreurs ou d'actes de malveillance.

Associez des politiques d'autorisation aux rôles IAM et accordez des autorisations pour effectuer des opérations sur les ressources Aurora DSQL. Des limites d'autorisations sont également disponibles pour les entités IAM, qui vous permettent de définir le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM.

À l'instar des meilleures pratiques relatives à l'utilisateur root Compte AWS, n'utilisez pas le admin rôle dans Aurora DSQL pour effectuer des opérations quotidiennes. Nous vous recommandons plutôt de créer des rôles de base de données personnalisés pour gérer votre cluster et vous y connecter. Pour plus d'informations, voir Accès à Aurora DSQL et Comprendre l'authentification et l'autorisation pour Aurora DSQL.

Utilisation verify-full dans les environnements de production.

Ce paramètre vérifie que le certificat du serveur est signé par une autorité de certification fiable et que le nom d'hôte du serveur correspond au certificat.

Mettez à jour votre client PostgreSQL

Mettez régulièrement à jour votre client PostgreSQL vers la dernière version pour bénéficier des améliorations de sécurité. Nous vous recommandons d'utiliser la version 17 de PostgreSQL.