本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Aurora 的安全最佳實務
使用 AWS Identity and Access Management (IAM) 帳戶控制對 Amazon RDS API 操作的存取權限,特別是建立、修改或刪除 Amazon Aurora 資源的操作。這類資源包含資料庫叢集、安全群組和參數群組。同時也請使用 IAM 控制執行常見管理動作的動作,例如備份和還原資料庫叢集。
-
為管理 Amazon Aurora 資源的每個人 (包括您自己) 建立個別使用者。請勿使用 AWS 根憑證來管理 Amazon Aurora 資源。
-
授予每個使用者執行其職責所需最低程度的許可。
-
使用 IAM 群組來有效管理多個使用者的許可。
-
定期輪替您的 IAM 登入資料。
-
將 AWS Secrets Manager 設定為自動輪換 Amazon Aurora 的秘密。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的輪換 AWS Secrets Manager 密碼。您也可以透過程式設計方式從 AWS Secrets Manager 擷取登入資料。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的擷取密碼值。
如需 Amazon Aurora 安全性的詳細資訊,請參閱Amazon Aurora 中的安全。如需關於 IAM 的詳細資訊,請參閱 AWS Identity and Access Management。如需 IAM 最佳實務的資訊,請參閱 IAM 最佳實務。
AWS Security Hub 會透過安全控制來評估資源組態和安全標準,協助您遵守各種合規架構。如需使用 Security Hub 評估 Lambda 資源的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon Relational Database Service 控制項。
透過使用 Security Hub 監控您 RDS 的使用狀況,因為它關係到安全最佳實務。如需詳細資訊,請參閱「什麼是 AWS Security Hub?」。
請使用 AWS 管理主控台、AWS CLI 或 RDS API 來變更您主要使用者的密碼。如果您使用其他工具 (如 SQL 用戶端) 來變更主要使用者的密碼,可能會導致系統意外撤銷使用者權限。
Amazon GuardDuty 是持續性的安全監控服務,用來分析和處理各種資料來源,包括 Amazon RDS 登入活動。其使用威脅智慧饋送和機器學習以在 AWS 環境內識別意外、可能未經授權、可疑登入行為且惡意的活動。
當 Amazon GuardDuty RDS 保護偵測到潛在的可疑或異常登入嘗試 (這表明資料庫存在安全威脅) 時,GuardDuty 會產生新的調查結果,其中包含可能被盜用之資料庫的詳細資訊。如需詳細資訊,請參閱使用適用於 Amazon Aurora 的 Amazon GuardDuty RDS 保護監控威脅。
