本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 最佳實務 我們建議設定 Amazon RDS Proxy 以使用 TLS/SSL 等安全機制連接至 Amazon RDS 資料庫。如此一來,RDS Proxy 可以充當用戶端應用程式與資料庫之間的額外安全層。RDS Proxy 支援 TLS 協定 1.2 版。RDS Proxy 使用來自 AWS Certificate Manager (ACM) 的憑證,這可讓憑證輪換,而不需要更新代理連線。 我們也建議使用 RDS Proxy 的 AWS Identity and Access Management (IAM) 型身分驗證。在此組態中,您授權 RDS Proxy 端點從中擷取 Amazon RDS 資料庫秘密 (包含使用者名稱和密碼登入資料) AWS Secrets Manager。Secrets Manager 對 Amazon RDS 資料庫使用者名稱和密碼保密,並可依定義的定期間隔輪換密碼。如需有關 RDS Proxy 安全和身分驗證設定的進一步詳細資訊,請參閱 [AWS 文件](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy.howitworks.html#rds-proxy-security)。 連線*綁定*是同時監控 Amazon RDS for PostgreSQL 資料庫和 RDS Proxy 端點的重要指標。在用戶端工作階段依賴先前請求的狀態資訊時會進行綁定,因此資料庫不允許用戶端工作階段跨不同資料庫連線執行交易。綁定可能是因使用 `SET` 命令或建立暫時序列、資料表或檢視造成的。這會導致代理的多工處理減少,即來自 RDS Proxy 的用戶端可用連線減少。若要檢查綁定的連線,請監控下列 Amazon CloudWatch 指標: + ClientConnections + DatabaseConnections + MaxDatabaseConnectionsAllowed + DatabaseConnectionsCurrentlySessionPinned 如需詳細資訊,請參閱 [Amazon RDS for PostgreSQL 研討會](https://catalog.us-east-1.prod.workshops.aws/workshops/2a5fc82d-2b5f-4105-83c2-91a1b4d7abfe/en-US/3-intermediate/rds-proxy/task6)。