Best practice relative alla sicurezza preventiva per Aurora DSQL - Amazon Aurora DSQL

Best practice relative alla sicurezza preventiva per Aurora DSQL

Oltre ai seguenti modi per utilizzare in modo sicuro Aurora DSQL, consultare Sicurezza in AWS Well-Architected Tool per scoprire in che modo le tecnologie cloud migliorano la sicurezza.

Utilizzo dei ruoli IAM per autenticare l’accesso ad Aurora DSQL.

Gli utenti, le applicazioni e gli altri Servizi AWS che accedono ad Aurora DSQL devono includere le credenziali AWS valide nell’API di AWS e nelle richieste della AWS CLI. Non è consigliabile archiviare le credenziali AWS direttamente nell’applicazione o nell’istanza EC2. Si tratta di credenziali a lungo termine che non vengono ruotate automaticamente. L’eventuale compromissione di queste credenziali ha un impatto significativo sul business. Un ruolo IAM consente di ottenere le chiavi di accesso temporanee che possono accedere ai servizi e alle risorse Servizi AWS.

Per maggiori informazioni, consultare Autenticazione e autorizzazione per Aurora DSQL.

Utilizzare le policy IAM per l’autorizzazione di base di Aurora DSQL.

Quando si concedono le autorizzazioni, si decide gli utenti che le riceveranno, quali API di Aurora DSQL ottengono le autorizzazioni e le operazioni specifiche da consentire su tali risorse. L’implementazione del privilegio minimo è fondamentale per ridurre i rischi di sicurezza e l’impatto che può risultare da errori o intenzioni dannose.

Collegare policy di autorizzazione ai ruoli IAM e concedere autorizzazioni per eseguire operazioni su risorse Aurora DSQL. Sono disponibili anche limiti delle autorizzazioni per le entità IAM, che consentono di impostare le autorizzazioni massime che una policy basata sull’identità può concedere a un’entità IAM.

Analogamente alle best practice per l’utente root dell’Account AWS, non utilizzare il ruolo admin in Aurora DSQL per eseguire le operazioni quotidiane. Consigliamo invece di creare ruoli del database personalizzati per gestire e connettersi al cluster. Per maggiori informazioni, consultare Accesso ad Aurora DSQL e Informazioni sull’ autenticazione e l’autorizzazione per Aurora DSQL.

Utilizzo di verify-full in ambienti di produzione.

Questa impostazione verifica che il certificato del server sia firmato da un’autorità di certificazione affidabile e che il nome host del server corrisponda al certificato.

Aggiornamento del client PostgreSQL

Aggiorna regolarmente il tuo client PostgreSQL alla versione più recente per beneficiare dei miglioramenti della sicurezza. Si consiglia di utilizzare PostgreSQL versione 17.