Aurora DSQL의 예방 보안 모범 사례

Aurora DSQL에 액세스하는 사용자, 애플리케이션 및 기타 AWS 서비스는 AWS API 및 AWS CLI 요청에 유효한 AWS 자격 증명을 포함해야 합니다. AWS 자격 증명을 애플리케이션이나 EC2 인스턴스에 직접 저장해서는 안 됩니다. 이는 자동으로 교체되지 않는 장기 자격 증명입니다. 이러한 자격 증명이 손상되면 비즈니스에 상당한 영향을 미칩니다. IAM 역할을 사용하면 AWS 서비스 및 리소스에 액세스하는 데 사용할 수 있는 임시 액세스 키를 얻을 수 있습니다.

자세한 내용은 Aurora DSQL에 대한 인증 및 권한 부여 섹션을 참조하세요.

권한을 부여할 때 권한을 부여받을 대상, 권한을 행사할 수 있는 Aurora DSQL API 작업, 해당 리소스에 허용하고자 하는 특정 작업을 결정합니다. 최소 권한을 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 줄일 수 있는 비결입니다.

권한 정책을 IAM 역할에 연결하고 Aurora DSQL 리소스에 대한 작업을 수행할 수 있는 권한을 부여합니다. 또한 IAM 엔터티에 대한 권한 경계를 사용할 수 있으며, 이를 통해 ID 기반 정책이 IAM 엔터티에 부여할 수 있는 최대 권한을 설정할 수 있습니다.

AWS 계정에 대한 루트 사용자 모범 사례와 마찬가지로 Aurora DSQL의 admin 역할을 사용하여 일상적인 작업을 수행하지 마세요. 대신 사용자 지정 데이터베이스 역할을 생성하여 클러스터를 관리하고 연결하는 것이 좋습니다. 자세한 내용은 Accessing Aurora DSQL 및 Understanding authentication and authorization for Aurora DSQL을 참조하세요.

이 설정은 서버 인증서가 신뢰할 수 있는 인증 기관에서 서명되었고 서버 호스트 이름이 인증서와 일치하는지 확인합니다.

보안 개선 사항을 활용하려면 PostgreSQL 클라이언트를 최신 버전으로 정기적으로 업데이트하세요. PostgreSQL 버전 17을 사용하는 것이 좋습니다.