Amazon Aurora 的安全最佳实践
使用 Amazon Identity and Access Management(IAM)账户可控制对 Amazon RDS API 操作(特别是创建、修改或删除 Amazon Aurora 资源的操作)的访问。此类资源包括数据库集群、安全组和参数组。此外,使用 IAM 可控制执行常见管理任务的操作,例如备份和还原数据库集群。
为管理 Amazon Aurora 资源的每个人(包括您自己)创建一个单独的用户。请勿使用Amazon根凭证管理 Amazon Aurora 资源。
授予每位用户执行其职责所需的最小权限集。
使用 IAM 组有效地管理适用于多个用户的权限。
定期交替 IAM 凭证。
将 Amazon Secrets Manager 配置为自动轮换 Amazon Aurora 的密钥。有关更多信息,请参阅 Amazon Secrets Manager用户指南中的轮换 Amazon Secrets Manager 密钥。您也可以从 Amazon Secrets Manager 中以编程方式检索凭证。有关更多信息,请参阅 Amazon Secrets Manager 用户指南 中的检索密钥值。
有关 Amazon Aurora 安全的更多信息,请参阅 Amazon Aurora 中的安全性。有关 IAM 的更多信息,请参阅。Amazon Identity and Access Management有关 IAM 最佳实践的信息,请参阅 IAM 最佳实践。
Amazon Security Hub 使用安全控件来评估资源配置和安全标准,以帮助您遵守各种合规框架。有关使用 Security Hub 评估 Lambda 资源的更多信息,请参阅《Amazon Security Hub 用户指南》中的 Amazon Relational Database Service 控件。
您可以监控 RDS 的使用情况,因为它与使用 Security Hub 的安全最佳实践有关。有关更多信息,请参阅什么是 Amazon Security Hub?。
使用 Amazon Web Services Management Console、Amazon CLI 或 RDS API 更改主用户的密码。如果使用另一个工具(如 SQL 客户端)来更改主用户密码,则可能会无意中取消用户的权限。
Amazon GuardDuty 是一项持续的安全监控服务,可以分析和处理各种数据来源,包括 Amazon RDS 登录活动。它使用威胁情报源和机器学习来确定您的 Amazon 环境中意外、可能未经授权、可疑的登录行为以及恶意活动。
当 Amazon GuardDuty RDS 保护检测到表示您的数据库中存在威胁的潜在可疑或异常登录尝试时,GuardDuty 会生成新的调查发现,其中包含有关可能被盗用的数据库的详细信息。有关更多信息,请参阅 使用 Amazon GuardDuty RDS 保护监控威胁。