Amazon RDS 的安全最佳實務 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon RDS 的安全最佳實務

使用 AWS Identity and Access Management (IAM) 帳戶控制對 Amazon RDS API 操作的存取,尤其是建立、修改或刪除 Amazon RDS 資源的操作。這類資源包括資料庫執行個體、安全群組和參數群組。也使用 IAM 控制執行常見管理動作的動作,例如備份和還原資料庫執行個體

  • 為每個管理 Amazon RDS 資源的人員建立個別使用者,包括您自己。請勿使用 AWS 根登入資料來管理 Amazon RDS 資源。

  • 授予每個使用者執行其職責所需最低程度的許可。

  • 使用 IAM 群組來有效管理多個使用者的許可。

  • 定期輪替您的 IAM 登入資料。

  • 設定 AWS Secrets Manager 以自動輪換 Amazon RDS 的秘密。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的輪換 AWS Secrets Manager 密碼。您也可以透過 AWS Secrets Manager 程式設計方式從 擷取登入資料。如需更多詳細資訊,請參閱 AWS Secrets Manager 使用者指南中的擷取密碼值

如需 Amazon RDS 安全性的詳細資訊,請參閱 Amazon RDS 中的安全 。如需關於 IAM 的詳細資訊,請參閱 AWS Identity and Access Management。如需 IAM 最佳實務的資訊,請參閱 IAM 最佳實務

AWS Security Hub 使用安全控制來評估資源組態和安全標準,以協助您符合各種合規架構。如需使用 Security Hub 評估 Lambda 資源的詳細資訊,請參閱《 AWS Security Hub 使用者指南》中的 Amazon Relational Database Service 控制項

透過使用 Security Hub 監控您 RDS 的使用狀況,因為它關係到安全最佳實務。如需詳細資訊,請參閱什麼是 AWS Security Hub?

使用 AWS CLI、 AWS Management Console或 RDS API 來變更主要使用者的密碼。如果您使用其他工具 (如 SQL 用戶端) 來變更主要使用者的密碼,可能會導致系統意外撤銷使用者權限。