本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon RDS 的安全最佳實務
使用 AWS Identity and Access Management(IAM) 帳戶來控制對 Amazon RDS API 操作的存取,尤其是建立、修改或刪除 Amazon RDS 資源的操作。這類資源包含資料庫執行個體、安全群組和參數群組。同時也請使用 IAM 控制執行常見管理動作的動作,例如備份和還原資料庫執行個體。
-
為管理 Amazon RDS 資源的每個人 (包括您自己) 建立個別使用者。請勿使用AWS根登入資料來管理 Amazon RDS 資源。
-
授予每個使用者執行其職責所需最低程度的許可。
-
使用 IAM 群組來有效管理多個使用者的許可。
-
定期輪替您的 IAM 登入資料。
-
設定 AWS Secrets Manager自動輪換 Amazon RDS 的秘密。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的輪換 AWS Secrets Manager 密碼。您也可以透過AWS Secrets Manager程式設計方式從 擷取登入資料。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的擷取密碼值。
如需 Amazon RDS 安全性的詳細資訊,請參閱Amazon RDS 中的安全。如需關於 IAM 的詳細資訊,請參閱 AWS Identity and Access Management。如需 IAM 最佳實務的資訊,請參閱 IAM 最佳實務。
AWS Security Hub CSPM使用安全控制來評估資源組態和安全標準,以協助您遵守各種合規架構。如需使用 Security Hub CSPM 評估 RDS 資源的詳細資訊,請參閱AWS Security Hub《 使用者指南》中的 Amazon Relational Database Service 控制項。
您可以使用 Security Hub CSPM 來監控 RDS 的使用量,因為它與安全最佳實務相關。如需詳細資訊,請參閱什麼是AWS Security Hub CSPM?。
使用 AWS CLI、 AWS 管理主控台或 RDS API 來變更主要使用者的密碼。如果您使用其他工具 (如 SQL 用戶端) 來變更主要使用者的密碼,可能會導致系統意外撤銷使用者權限。
