Amazon Relational Database Service
用户指南 (API 版本 2014-10-31)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon RDS 的安全最佳实践

使用 AWS Identity and Access Management (IAM) 账户可控制对 Amazon RDS API 操作(特别是创建、修改或删除 Amazon RDS 资源的操作)的访问。此类资源包括数据库实例、安全组和参数组。此外,使用 IAM 可控制执行常见管理任务的操作,例如备份和还原数据库实例

  • 为每个管理 Amazon RDS 资源的人员分配个人 IAM 账户。切勿使用 AWS 根凭证管理 Amazon RDS 资源;您应当为所有人(包括您自己)创建 IAM 用户。

  • 授予每位用户执行其职责所需的最小权限集。

  • 使用 IAM 组有效地管理适用于多个用户的权限。

  • 定期交替 IAM 凭证。

  • 将 AWS Secrets Manager 配置为自动轮换 Amazon RDS 的密钥。有关更多信息,请参阅 AWS Secrets Manager 用户指南 中的轮换 AWS Secrets Manager 密钥

有关 IAM 的更多信息,请参阅AWS Identity and Access Management。有关 IAM 最佳实践的信息,请参阅 IAM 最佳实践

使用 AWS 管理控制台、AWS CLI 或 RDS API 更改主用户的密码。如果使用另一个工具(如 SQL 客户端)来更改主用户密码,则可能会无意中取消用户的权限。