# Práticas recomendadas de segurança para o Aurora DSQL Práticas recomendadas de segurança O Aurora DSQL oferece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições. **Topics** + [ # Práticas recomendadas de segurança de detecção para o Amazon Aurora DSQL ](best-practices-security-detective.md) + [ # Práticas recomendadas de segurança preventiva para o Aurora DSQL ](best-practices-security-preventative.md) # Práticas recomendadas de segurança de detecção para o Amazon Aurora DSQL Práticas recomendadas de segurança de detecção Além das formas de usar o Aurora DSQL com segurança apresentadas a seguir, consulte [Segurança](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) em AWS Well-Architected Tool para saber como as tecnologias de nuvem melhoram a segurança. **Alarmes do Amazon CloudWatch** Com o uso de alarmes do Amazon CloudWatch, você observa uma única métrica durante um período especificado. Se a métrica ultrapassar um limite especificado, uma notificação será enviada para um tópico do Amazon SNS ou para uma política do AWS Auto Scaling. Os alarmes do CloudWatch não invocam ações só porque estão em um determinado estado. O estado deve ter sido alterado e mantido por uma quantidade especificada de períodos. **Marcar recursos do Aurora DSQL para identificação e automação** Você pode atribuir metadados aos seus recursos da AWS na forma de tags. Cada tag é um rótulo simples que consiste em uma chave definida pelo cliente e um valor opcional que pode facilitar o gerenciamento, a pesquisa e a filtragem de recursos. A atribuição de tags (tagging) permite a implementação de controles agrupados. Embora não haja tipos de tags inerentes, elas permitem categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Veja os seguintes exemplos: + Segurança: usada para determinar requisitos como criptografia. + Confidencialidade: um identificador do nível de confidencialidade de dados específico permitido por um recurso. + Ambiente: usada para distinguir entre as infraestruturas de desenvolvimento, teste e produção. Você pode atribuir metadados aos seus recursos da AWS na forma de tags. Cada tag é um rótulo simples que consiste em uma chave definida pelo cliente e um valor opcional que pode facilitar o gerenciamento, a pesquisa e a filtragem de recursos. A atribuição de tags (tagging) permite a implementação de controles agrupados. Embora não haja tipos de tags inerentes, elas permitem categorizar recursos do por finalidade, proprietário, ambiente ou outros critérios. Veja os seguintes exemplos. + Segurança: usada para determinar requisitos como criptografia. + Confidencialidade: um identificador do nível de confidencialidade de dados específico permitido por um recurso. + Ambiente: usada para distinguir entre as infraestruturas de desenvolvimento, teste e produção. Para ter mais informações, consulte [Best Practices for Tagging AWSResources](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). # Práticas recomendadas de segurança preventiva para o Aurora DSQL Práticas recomendadas de segurança preventiva Além das formas de usar o Aurora DSQL com segurança apresentadas a seguir, consulte [Segurança](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) em AWS Well-Architected Tool para saber como as tecnologias de nuvem melhoram a segurança. **Use perfis do IAM para autenticar o acesso ao Aurora DSQL.** Usuários, aplicações e outros Serviços da AWS que acessam o Aurora DSQL devem incluir credenciais válidas da AWS nas solicitações da API da AWS e da AWS CLI. Você não deve armazenar credenciais da AWS diretamente na aplicação ou em instâncias do EC2. Essas são credenciais de longo prazo que não são alternadas automaticamente. Haverá um impacto significativo na empresa se essas credenciais forem comprometidas. Um perfil do IAM permite obter chaves de acesso temporárias que podem acessar recursos e Serviços da AWS. Para obter mais informações, consulte [Autenticação e autorização para o Aurora DSQL](authentication-authorization.md). **Use políticas do IAM para autorização básica do Aurora DSQL.** Ao conceder permissões, você decide quem as recebe, a quais APIs do Auroras DSQL as permissões se referem e as ações específicas que deseja permitir nesses recursos. A implementação do privilégio mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados. Anexe políticas de permissões a perfis do IAM e conceda permissões para executar operações em recursos do Aurora DSQL. Também estão disponíveis [limites de permissões para entidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html), que possibilitam definir as permissões máximas que uma política baseada em identidade pode conceder a uma entidade do IAM. Assim como as [práticas recomendadas de usuário-raiz para sua Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html), não use O perfil `admin` no Aurora DSQL para realizar operações diárias. Em vez disso, recomendamos que você crie perfis de banco de dados personalizados para gerenciar e se conectar ao cluster. Para ter mais informações, consulte [ Accessing Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) e [Understanding authentication and authorization for Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html). **Use `verify-full` em ambientes de produção.** Essa configuração verifica se o certificado do servidor está assinado por uma autoridade de certificação confiável e se o nome do host do servidor corresponde ao certificado. **Atualize seu cliente PostgreSQL.** Atualize regularmente seu cliente PostgreSQL para a versão mais recente a fim de se beneficiar das melhorias de segurança. Recomendamos usar o PostgreSQL versão 17.