Aurora DSQL 預防性安全最佳實務 - Amazon Aurora DSQL

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Aurora DSQL 預防性安全最佳實務

除了下列安全使用 Aurora DSQL 的方式之外,請參閱 中的安全性 AWS Well-Architected Tool ,以了解雲端技術如何改善您的安全性。

使用 IAM 角色驗證對 Aurora DSQL 的存取權限。

存取 Aurora DSQL 的使用者、應用程式和其他 AWS 服務 必須在 AWS API 和 AWS CLI 請求中包含有效的 AWS 登入資料。您不應將 AWS 登入資料直接存放在應用程式或 EC2 執行個體中。這些是不會自動輪換的長期憑證。如果這些憑證遭到入侵,會對業務產生重大影響。IAM 角色可讓您取得可用來存取 AWS 服務 和資源的臨時存取金鑰。

如需詳細資訊,請參閱Aurora DSQL 的身分驗證和授權

使用 IAM 政策進行 Aurora DSQL 基礎授權。

您在授予許可權限時會決定誰可以取得許可權限、可以取得哪些 Aurora DSQL API 的許可權限,以及可以對這些資源進行的特定動作。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限是其中關鍵。

將許可權限政策連接至 IAM 角色,並授予許可權限在 Aurora DSQL 資源上執行作業。也提供 IAM 實體的許可界限,可讓您設定身分型政策可授予 IAM 實體的最大許可權限。

的根使用者最佳實務 AWS 帳戶類似,請勿使用 Aurora DSQL 中的 admin角色來執行日常操作。反之,我們建議您建立自訂資料庫角色以管理和連線至您的叢集。如需詳細資訊,請參閱存取 Aurora DSQL瞭解 Aurora DSQL 的身分驗證和授權

在正式作業環境中使用 verify-full

此設定會驗證伺服器憑證是否由信任的憑證認證機構簽署,以及伺服器主機名稱是否與憑證相符。

更新 PostgreSQL 用戶端

定期將 PostgreSQL 用戶端更新為最新版本,以享有提升安全性的效益。我們建議使用 PostgreSQL 17 版。