Bonnes pratiques de sécurité préventive pour Aurora DSQL

Outre les méthodes suivantes pour utiliser Aurora DSQL en toute sécurité, consultez Sécurité dans AWS Well-Architected Tool pour découvrir comment les technologies cloud améliorent votre sécurité.

Utilisation des rôles IAM pour authentifier l’accès à Aurora DSQL.

Les utilisateurs, applications et autres Services AWS qui accèdent à Aurora DSQL doivent inclure des informations d’identification AWS valides dans l’API AWS et les demandes AWS CLI. Vous ne devez pas stocker d’informations d’identification AWS directement dans l’application ou dans des instances EC2. Il s’agit d’informations d’identification à long terme qui ne font pas l’objet d’une rotation automatique. La compromission de ces informations d’identification a un impact commercial significatif. Un rôle IAM vous permet d’obtenir des clés d’accès temporaires qui vous permettent d’accéder aux Services AWS et aux ressources.

Pour plus d’informations, consultez Authentification et autorisation pour Aurora DSQL.

Utilisation des politiques IAM pour l’autorisation de base Aurora DSQL.

Lorsque vous accordez des autorisations, vous décidez qui les reçoit, les opérations d’API Aurora DSQL auxquelles elles s’appliquent, et les actions spécifiques que vous souhaitez autoriser sur ces ressources. L’implémentation d’un privilège minimum est la clé de la réduction des risques de sécurité et de l’impact potentiel d’erreurs ou d’actes de malveillance.

Associez des politiques d’autorisation aux rôles IAM et accordez des autorisations pour exécuter des opérations sur des ressources Aurora DSQL. Des limites d’autorisations pour les entités IAM sont également disponibles, ce qui vous permet de définir les autorisations maximales qu’une politique basée sur l’identité peut accorder à une entité IAM.

À l’instar des meilleures pratiques relatives à l’utilisateur racine de votre Compte AWS, n’utilisez pas le rôle admin dans Aurora DSQL pour effectuer des opérations quotidiennes. Nous vous recommandons plutôt de créer des rôles de base de données personnalisés pour gérer votre cluster et vous y connecter. Pour plus d’informations, consultez Accès à Aurora DSQL et Comprendre l’authentification et l’autorisation pour Aurora DSQL.

Utilisation de verify-full dans les environnements de production.

Ce paramètre vérifie que le certificat du serveur est signé par une autorité de certification fiable et que le nom d’hôte du serveur correspond au certificat.

Mise à jour de votre client PostgreSQL

Mettez régulièrement à jour votre client PostgreSQL vers la dernière version pour bénéficier des améliorations de sécurité. Nous vous recommandons d’utiliser la version 17 de PostgreSQL.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques de sécurité de détection

Balisage de ressources