最佳實務

我們建議設定 Amazon RDS Proxy 以使用 TLS/SSL 等安全機制連接至 Amazon RDS 資料庫。如此一來，RDS Proxy 可以充當用戶端應用程式與資料庫之間的額外安全層。RDS Proxy 支援 TLS 協定 1.2 版。RDS Proxy 使用來自 AWS Certificate Manager (ACM) 的憑證，這可讓憑證輪換，而不需要更新代理連線。

我們也建議使用 RDS Proxy 的 AWS Identity and Access Management (IAM) 型身分驗證。在此組態中，您授權 RDS Proxy 端點從中擷取 Amazon RDS 資料庫秘密 （包含使用者名稱和密碼登入資料） AWS Secrets Manager。Secrets Manager 對 Amazon RDS 資料庫使用者名稱和密碼保密，並可依定義的定期間隔輪換密碼。如需有關 RDS Proxy 安全和身分驗證設定的進一步詳細資訊，請參閱 AWS 文件。

連線綁定是同時監控 Amazon RDS for PostgreSQL 資料庫和 RDS Proxy 端點的重要指標。在用戶端工作階段依賴先前請求的狀態資訊時會進行綁定，因此資料庫不允許用戶端工作階段跨不同資料庫連線執行交易。綁定可能是因使用 SET 命令或建立暫時序列、資料表或檢視造成的。這會導致代理的多工處理減少，即來自 RDS Proxy 的用戶端可用連線減少。若要檢查綁定的連線，請監控下列 Amazon CloudWatch 指標：

如需詳細資訊，請參閱 Amazon RDS for PostgreSQL 研討會。