Aurora DSQL 預防性安全最佳實務
除了以下安全使用 Aurora DSQL 的方式之外,請參閱 AWS Well-Architected Tool 中的安全性以瞭解雲端技術如何改善您的安全性。
- 使用 IAM 角色驗證對 Aurora DSQL 的存取權限。
-
存取 Aurora DSQL 的使用者、應用程式和其他 AWS 服務,必須在 AWS API 和 AWS CLI 請求中包含有效的 AWS 憑證。您不應該將 AWS 憑證直接儲存在應用程式或 EC2 執行個體中。這些是不會自動輪換的長期憑證。如果這些憑證遭到入侵,會對業務產生重大影響。IAM 角色允許您取得臨時存取金鑰,可存取 AWS 服務 和資源。
如需更多詳細資訊,請參閱 Aurora DSQL 的身分驗證和授權。
- 使用 IAM 政策進行 Aurora DSQL 基礎授權。
-
您在授予許可權限時會決定誰可以取得許可權限、可以取得哪些 Aurora DSQL API 的許可權限,以及可以對這些資源進行的特定動作。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限是其中關鍵。
將許可權限政策連接至 IAM 角色,並授予許可權限在 Aurora DSQL 資源上執行作業。也提供 IAM 實體的許可界限,可讓您設定身分型政策可授予 IAM 實體的最大許可權限。
類似於 AWS 帳戶 的根使用者最佳實務,請勿使用 Aurora DSQL 中的
admin角色來執行日常作業。反之,我們建議您建立自訂資料庫角色來管理和連線至您的叢集。如需詳細資訊,請參閱存取 Aurora DSQL 和瞭解 Aurora DSQL 的身分驗證和授權。 - 在正式作業環境中使用
verify-full。 -
此設定會驗證伺服器憑證是否由信任的憑證認證機構簽署,以及伺服器主機名稱是否與憑證相符。
- 更新您的 PostgreSQL 用戶端
-
定期將 PostgreSQL 用戶端更新為最新版本,以享有提升安全性的效益。我們建議使用 PostgreSQL 17 版。
