Amazon RDS 的安全最佳实践 - Amazon Relational Database Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon RDS 的安全最佳实践

使用 AWS Identity and Access Management (IAM) 账户可控制对 Amazon RDS API 操作(特别是创建、修改或删除 Amazon RDS 资源的操作)的访问。此类资源包括数据库实例、安全组和参数组。此外,使用 IAM 可控制执行常见管理任务的操作,例如备份和还原数据库实例

  • 为管理 Amazon RDS 资源的每个人(包括您自己)创建一个单独的 IAM 用户。请勿使用 AWS 根凭证管理 Amazon RDS 资源。

  • 授予每位用户执行其职责所需的最小权限集。

  • 使用 IAM 组有效地管理适用于多个用户的权限。

  • 定期交替 IAM 凭证。

  • 将 AWS Secrets Manager 配置为自动轮换 Amazon RDS 的密钥。有关更多信息,请参阅 AWS Secrets Manager 用户指南 中的轮换 AWS Secrets Manager 密钥。您也可以从 AWS Secrets Manager 中以编程方式检索凭证。有关更多信息,请参阅 AWS Secrets Manager 用户指南 中的检索密钥值

有关 IAM 的更多信息,请参阅AWS Identity and Access Management。有关 IAM 最佳实践的信息,请参阅 IAM 最佳实践

使用 AWS 管理控制台、AWS CLI 或 RDS API 更改主用户的密码。如果使用另一个工具(如 SQL 客户端)来更改主用户密码,则可能会无意中取消用户的权限。