Aurora DSQL 的预防性安全最佳实践
除了以下安全使用 Aurora DSQL 的方法外,请参阅 AWS Well-Architected Tool 中的安全性,以了解云技术如何提高安全性。
- 使用 IAM 角色对 Aurora DSQL 的访问进行身份验证。
-
访问 Aurora DSQL 的用户、应用程序和其它 AWS 服务都必须在 AWS API 和 AWS CLI 请求中包含有效的 AWS 凭证。您不应直接在应用程序或 EC2 实例中存储 AWS 凭证。这些是长期凭证,不会自动轮换。如果这些凭证遭到泄露,则会对业务产生重大影响。利用 IAM 角色,您可以获得可用于访问 AWS 服务和资源的临时访问密钥。
有关更多信息,请参阅 Aurora DSQL 的身份验证和授权。
- 使用 IAM 策略进行 Aurora DSQL 基本授权。
-
当您授予权限时,您将决定谁会获得这些权限,获得对于哪些 Aurora DSQL API 的权限,以及支持对这些资源执行的具体操作。实施最低权限对于减小安全风险以及错误或恶意意图造成的影响至关重要。
将权限策略附加到 IAM 角色,并授予对 Aurora DSQL 资源执行操作的权限。IAM 实体的权限边界也可用,借助该边界,您可以设置基于身份的策略可向 IAM 实体授予的最大权限。
与您的 AWS 账户的根用户最佳实践类似,请勿使用 Aurora DSQL 中的
admin角色来执行日常操作。相反,我们建议您创建自定义数据库角色来管理和连接到集群。有关更多信息,请参阅访问 Aurora DSQL 和了解 Aurora DSQL 的身份验证和授权。 - 在生产环境中使用
verify-full。 -
此设置验证服务器证书是否由受信任的证书颁发机构签名,以及服务器主机名是否与证书匹配。
- 更新 PostgreSQL 客户端
-
定期将 PostgreSQL 客户端更新到最新版本,以受益于安全性方面的改进。建议使用 PostgreSQL 版本 17。
