本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Aurora 的安全最佳實務
使用 AWS Identity and Access Management(IAM) 帳戶來控制對 Amazon RDS API 操作的存取,尤其是建立、修改或刪除 Amazon Aurora 資源的操作。這類資源包含資料庫叢集、安全群組和參數群組。同時也請使用 IAM 控制執行常見管理動作的動作,例如備份和還原資料庫叢集。
-
為管理 Amazon Aurora 資源的每個人 (包括您自己) 建立個別使用者。請勿使用AWS根登入資料來管理 Amazon Aurora 資源。
-
授予每個使用者執行其職責所需最低程度的許可。
-
使用 IAM 群組來有效管理多個使用者的許可。
-
定期輪替您的 IAM 登入資料。
-
設定 AWS Secrets Manager自動輪換 Amazon Aurora 的秘密。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的輪換 AWS Secrets Manager 密碼。您也可以透過AWS Secrets Manager程式設計方式從 擷取登入資料。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的擷取密碼值。
如需 Amazon Aurora 安全性的詳細資訊,請參閱Amazon Aurora 中的安全。如需關於 IAM 的詳細資訊,請參閱 AWS Identity and Access Management。如需 IAM 最佳實務的資訊,請參閱 IAM 最佳實務。
AWS Security Hub CSPM使用安全控制來評估資源組態和安全標準,以協助您遵守各種合規架構。如需使用 Security Hub CSPM 評估 RDS 資源的詳細資訊,請參閱AWS Security Hub《 使用者指南》中的 Amazon Relational Database Service 控制項。
您可以使用 Security Hub CSPM 來監控 RDS 的使用量,因為它與安全最佳實務相關。如需詳細資訊,請參閱什麼是AWS Security Hub CSPM?。
使用 AWS CLI、 AWS 管理主控台或 RDS API 來變更主要使用者的密碼。如果您使用其他工具 (如 SQL 用戶端) 來變更主要使用者的密碼,可能會導致系統意外撤銷使用者權限。
Amazon GuardDuty 是持續性的安全監控服務,用來分析和處理各種資料來源,包括 Amazon RDS 登入活動。其使用威脅智慧饋送和機器學習以在 AWS 環境內識別意外、可能未經授權、可疑登入行為且惡意的活動。
當 Amazon GuardDuty RDS 保護偵測到潛在的可疑或異常登入嘗試 (這表明資料庫存在安全威脅) 時,GuardDuty 會產生新的調查結果,其中包含可能被盜用之資料庫的詳細資訊。如需詳細資訊,請參閱 使用適用於 Amazon Aurora 的 Amazon GuardDuty RDS 保護監控威脅。
