Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Praktik terbaik keamanan untuk Aurora DSQL
Aurora DSQL menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
**Topics**
+ [
# Praktik terbaik keamanan Detektif untuk Aurora DSQL
](best-practices-security-detective.md)
+ [
# Praktik terbaik keamanan preventif untuk Aurora DSQL
](best-practices-security-preventative.md)
# Praktik terbaik keamanan Detektif untuk Aurora DSQL
Selain cara-cara berikut untuk menggunakan Aurora DSQL dengan aman, [lihat](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) Keamanan AWS Well-Architected Tool untuk mempelajari tentang bagaimana teknologi cloud meningkatkan keamanan Anda.
** CloudWatch Alarm Amazon**
Menggunakan CloudWatch alarm Amazon, Anda menonton satu metrik selama periode waktu yang Anda tentukan. Jika metrik melebihi ambang batas tertentu, pemberitahuan akan dikirim ke topik atau AWS Auto Scaling kebijakan Amazon SNS. CloudWatch alarm tidak memanggil tindakan karena mereka berada dalam keadaan tertentu. Sebaliknya, status harus diubah dan dipelihara selama jangka waktu tertentu.
**Tandai sumber daya Aurora DSQL Anda untuk identifikasi dan otomatisasi**
Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tanda adalah label sederhana yang terdiri dari kunci yang ditetapkan pelanggan dan nilai opsional yang memudahkan untuk mengelola, mencari, dan memfilter sumber daya.
Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tanda yang melekat, tanda memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini beberapa contohnya:
+ Keamanan – Digunakan untuk menentukan persyaratan seperti enkripsi.
+ Kerahasiaan – Sebuah pengidentifikasi untuk dukungan sumber daya tingkat kerahasiaan data tertentu.
+ Lingkungan – Digunakan untuk membedakan antara pengembangan, pengujian, dan infrastruktur produksi.
Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tanda adalah label sederhana yang terdiri dari kunci yang ditetapkan pelanggan dan nilai opsional yang memudahkan untuk mengelola, mencari, dan memfilter sumber daya.
Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tag yang melekat, tag memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini adalah beberapa contoh.
+ Keamanan — digunakan untuk menentukan persyaratan seperti enkripsi.
+ Kerahasiaan — pengenal untuk tingkat kerahasiaan data tertentu yang didukung sumber daya.
+ Lingkungan — digunakan untuk membedakan antara pembangunan, pengujian, dan infrastruktur produksi.
Untuk informasi selengkapnya, lihat [Praktik Terbaik untuk Menandai AWS Sumber Daya](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html).
# Praktik terbaik keamanan preventif untuk Aurora DSQL
Selain cara-cara berikut untuk menggunakan Aurora DSQL dengan aman, [lihat](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) Keamanan AWS Well-Architected Tool untuk mempelajari tentang bagaimana teknologi cloud meningkatkan keamanan Anda.
**Gunakan peran IAM untuk mengautentikasi akses ke Aurora DSQL.**
Pengguna, aplikasi, dan lainnya Layanan AWS yang mengakses Aurora DSQL harus menyertakan AWS kredensi yang valid dalam API dan permintaan. AWS AWS CLI Anda tidak boleh menyimpan AWS kredensyal secara langsung di aplikasi atau instans EC2. Ini adalah kredensyal jangka panjang yang tidak diputar secara otomatis. Ada dampak bisnis yang signifikan jika kredensil ini dikompromikan. Peran IAM memungkinkan Anda memperoleh kunci akses sementara yang dapat Anda gunakan untuk mengakses Layanan AWS dan sumber daya.
Untuk informasi selengkapnya, lihat [Otentikasi dan otorisasi untuk Aurora DSQL](authentication-authorization.md).
**Gunakan kebijakan IAM untuk otorisasi dasar Aurora DSQL.**
Saat Anda memberikan izin, Anda memutuskan siapa yang mendapatkannya, operasi Aurora DSQL API mana yang mereka dapatkan izin, dan tindakan spesifik yang ingin Anda izinkan pada sumber daya tersebut. Menerapkan akses hak akses paling rendah adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat disebabkan oleh kesalahan atau niat jahat.
Lampirkan kebijakan izin ke peran IAM dan berikan izin untuk melakukan operasi pada sumber daya Aurora DSQL. Juga tersedia [batas izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html), yang memungkinkan Anda menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM.
Mirip dengan [praktik terbaik pengguna root untuk Anda Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html), jangan gunakan `admin` peran di Aurora DSQL untuk melakukan operasi sehari-hari. Sebagai gantinya, kami menyarankan Anda membuat peran basis data khusus untuk mengelola dan terhubung ke klaster Anda. Untuk informasi selengkapnya, lihat [Mengakses Aurora DSQL [dan Memahami otentikasi dan](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) otorisasi untuk Aurora](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) DSQL.
**Gunakan `verify-full` di lingkungan produksi.**
Pengaturan ini memverifikasi bahwa sertifikat server ditandatangani oleh otoritas sertifikat tepercaya dan bahwa nama host server cocok dengan sertifikat.
**Perbarui klien PostgreSQL Anda**
Perbarui klien PostgreSQL Anda secara teratur ke versi terbaru untuk mendapatkan manfaat dari peningkatan keamanan. Kami merekomendasikan menggunakan PostgreSQL versi 17.