Aurora DSQL の予防的セキュリティのベストプラクティス

Aurora DSQL にアクセスするユーザー、アプリケーション、およびその他の AWS のサービスは、AWS API および AWS CLI リクエストに有効な AWS 認証情報を含める必要があります。アプリケーションまたは EC2 インスタンスに AWS 認証情報を直接保存しないでください。これらは、自動的にローテーションされない長期的な認証情報です。これらの認証情報が漏えいした場合、ビジネスに重大な影響を与えます。IAM ロールにより、AWS のサービスおよびリソースへのアクセスに使用できる一時的なアクセスキーを取得することができます。

詳細については、「Aurora DSQL の認証および認可」を参照してください。

許可を付与する場合、許可を取得するユーザー、取得する許可の対象となる Aurora DSQL API オペレーション、およびそれらのリソースに対して許可される特定のアクションを決定します。最小限の特権の実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での鍵となります。

アクセス許可ポリシーを IAM ロールにアタッチし、Aurora DSQL リソースでオペレーションを実行するアクセス許可を付与します。また、IAM エンティティのアクセス許可の境界も利用できます。これにより、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス許可の上限を設定できます。

「AWS アカウントのルートユーザーのベストプラクティス」と同様に、Aurora DSQL の admin ロールを使用して日常的なオペレーションを実行しないでください。代わりに、クラスターを管理して接続するためのカスタムデータベースロールを作成することをお勧めします。詳細については、「Accessing Aurora DSQL」および「Understanding authentication and authorization for Aurora DSQL」を参照してください。

この設定では、サーバー証明書が信頼できる認証機関によって署名されていること、およびサーバーのホスト名が証明書と一致することを確認します。

セキュリティ強化の恩恵を受けるために、PostgreSQL クライアントを定期的に最新バージョンに更新してください。PostgreSQL バージョン 17 を使用することをお勧めします。