本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Aurora DSQL 的安全最佳實務
<a name="best-practices-security"></a>

開發和實作自己的安全性政策時，不妨考慮使用 Aurora DSQL 提供的多種安全性功能。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

**Topics**
+ [

# Aurora DSQL 的偵測性安全最佳實務
](best-practices-security-detective.md)
+ [

# Aurora DSQL 預防性安全最佳實務
](best-practices-security-preventative.md)

# Aurora DSQL 的偵測性安全最佳實務
<a name="best-practices-security-detective"></a>

除了下列安全使用 Aurora DSQL 的方式之外，請參閱 中的[安全性](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) AWS Well-Architected Tool ，以了解雲端技術如何改善您的安全性。

**Amazon CloudWatch 警示**  
使用 Amazon CloudWatch 警示，您可在自己指定的一段時間內監看單一指標。如果指標超過指定的閾值，則會傳送通知至 Amazon SNS 主題或 AWS Auto Scaling 政策。CloudWatch 警示不會因為處於特定狀態而調用動作。必須是狀態已變更並維持了所指定的時間長度，才會呼叫動作。

**為 Aurora DSQL 資源加上標籤，以便進行識別和自動化**  
您可以將中繼資料以標籤形式指派給 AWS 資源。每個標記都是由客戶定義金鑰和選用值組成的簡單標籤，能夠更輕鬆地管理、搜尋和篩選資源。  
標記允許實現分組控制。雖然標籤不具固有類型，但能讓您依用途、擁有者、環境或其他條件分類資源。下列是一些範例：  
+ 安全性：用於確定加密等需求。
+ 機密性：資源支援的特定資料機密等級識別符。
+ 環境：用來區分開發、測試和正式作業基礎結構。
您可以將中繼資料以標籤形式指派給 AWS 資源。每個標記都是由客戶定義金鑰和選用值組成的簡單標籤，能夠更輕鬆地管理、搜尋和篩選資源。  
標記允許實現分組控制。雖然標籤不具固有類型，但能讓您依用途、擁有者、環境或其他條件分類資源。下列是一些範例。  
+ 安全性：用於確定加密等需求。
+ 機密性：資源支援的特定資料機密等級識別符。
+ 環境：用來區分開發、測試和正式作業基礎結構。
如需詳細資訊，請參閱[標記 AWS 資源的最佳實務](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)。

# Aurora DSQL 預防性安全最佳實務
<a name="best-practices-security-preventative"></a>

除了下列安全使用 Aurora DSQL 的方式之外，請參閱 中的[安全性](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) AWS Well-Architected Tool ，以了解雲端技術如何改善您的安全性。

**使用 IAM 角色驗證對 Aurora DSQL 的存取權限。**  
存取 Aurora DSQL 的使用者、應用程式和其他 AWS 服務 必須在 AWS API 和 AWS CLI 請求中包含有效的 AWS 登入資料。您不應將 AWS 登入資料直接存放在應用程式或 EC2 執行個體中。這些是不會自動輪換的長期憑證。如果這些憑證遭到入侵，會對業務產生重大影響。IAM 角色可讓您取得可用來存取 AWS 服務 和資源的臨時存取金鑰。  
如需詳細資訊，請參閱[Aurora DSQL 的身分驗證和授權](authentication-authorization.md)。

**使用 IAM 政策進行 Aurora DSQL 基礎授權。**  
您在授予許可權限時會決定誰可以取得許可權限、可以取得哪些 Aurora DSQL API 的許可權限，以及可以對這些資源進行的特定動作。對降低錯誤或惡意意圖所引起的安全風險和影響而言，實作最低權限是其中關鍵。  
將許可權限政策連接至 IAM 角色，並授予許可權限在 Aurora DSQL 資源上執行作業。也提供 [IAM 實體的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)，可讓您設定身分型政策可授予 IAM 實體的最大許可權限。  
與 [ 的根使用者最佳實務 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)類似，請勿使用 Aurora DSQL 中的 `admin`角色來執行日常操作。反之，我們建議您建立自訂資料庫角色以管理和連線至您的叢集。如需詳細資訊，請參閱[存取 Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) 和[瞭解 Aurora DSQL 的身分驗證和授權](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html)。

**在正式作業環境中使用 `verify-full`。**  
此設定會驗證伺服器憑證是否由信任的憑證認證機構簽署，以及伺服器主機名稱是否與憑證相符。

**更新 PostgreSQL 用戶端**  
定期將 PostgreSQL 用戶端更新為最新版本，以享有提升安全性的效益。我們建議使用 PostgreSQL 17 版。