本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Aurora DSQL 的預防性安全最佳實務
除了以下安全使用 Aurora DSQL 的方式之外,請參閱 中的安全性 AWS Well-Architected Tool ,以了解雲端技術如何改善您的安全性。
- 使用 IAM 角色來驗證對 Aurora DSQL 的存取。
-
AWS 服務 存取 Aurora DSQL 的使用者、應用程式和其他 必須在 AWS API 和 AWS CLI 請求中包含有效的 AWS 登入資料。您不應將 AWS 登入資料直接存放在應用程式或 EC2 執行個體中。這些是不會自動輪換的長期登入資料。如果這些登入資料遭到入侵,會對業務產生重大影響。IAM 角色可讓您取得可用來存取 AWS 服務 和資源的臨時存取金鑰。
如需詳細資訊,請參閱Aurora DSQL 的身分驗證和授權。
- 針對 Aurora DSQL 基礎授權使用 IAM 政策。
-
當您授予許可時,您可以決定誰取得許可、他們取得許可的 Aurora DSQL API 操作,以及您想要在這些資源上允許的特定動作。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限是其中關鍵。
將許可政策連接至 IAM 角色,並授予在 Aurora DSQL 資源上執行操作的許可。也提供 IAM 實體的許可界限,可讓您設定身分型政策可授予 IAM 實體的最大許可。
與 的根使用者最佳實務 AWS 帳戶類似,請勿使用 Aurora DSQL 中的
admin角色來執行日常操作。反之,我們建議您建立自訂資料庫角色來管理和連線至您的叢集。如需詳細資訊,請參閱存取 Aurora DSQL 和了解 Aurora DSQL 的身分驗證和授權。 verify-full在生產環境中使用 。-
此設定會驗證伺服器憑證是否由信任的憑證授權單位簽署,以及伺服器主機名稱是否與憑證相符。
- 更新您的 PostgreSQL 用戶端
-
定期將 PostgreSQL 用戶端更新為最新版本,以受益於安全性改善。建議使用 PostgreSQL 第 17 版。
