Amazon RDS 的安全最佳实践
使用 Amazon Identity and Access Management(IAM)账户可控制对 Amazon RDS API 操作(特别是创建、修改或删除 Amazon RDS 资源的操作)的访问。此类资源包括数据库实例、安全组和参数组。此外,使用 IAM 可控制执行常见管理任务的操作,例如备份和还原数据库实例。
-
为管理 Amazon RDS 资源的每个人(包括您自己)创建一个单独的用户。请勿使用Amazon根凭证管理 Amazon RDS 资源。
-
授予每位用户执行其职责所需的最小权限集。
-
使用 IAM 组有效地管理适用于多个用户的权限。
-
定期交替 IAM 凭证。
-
将 Amazon Secrets Manager 配置为自动轮换 Amazon RDS 的密钥。有关更多信息,请参阅 Amazon Secrets Manager用户指南中的轮换 Amazon Secrets Manager 密钥。您也可以从 Amazon Secrets Manager 中以编程方式检索凭证。有关更多信息,请参阅 Amazon Secrets Manager 用户指南 中的检索密钥值。
有关 Amazon RDS 安全的更多信息,请参阅 Amazon RDS 中的安全性。有关 IAM 的更多信息,请参阅。Amazon Identity and Access Management有关 IAM 最佳实践的信息,请参阅 IAM 最佳实践。
Amazon Security Hub 使用安全控件来评估资源配置和安全标准,以帮助您遵守各种合规框架。有关使用 Security Hub 评估 Lambda 资源的更多信息,请参阅《Amazon Security Hub 用户指南》中的 Amazon Relational Database Service 控件。
您可以监控 RDS 的使用情况,因为它与使用 Security Hub 的安全最佳实践有关。有关更多信息,请参阅什么是 Amazon Security Hub?。
使用 Amazon Web Services Management Console、Amazon CLI 或 RDS API 更改主用户的密码。如果使用另一个工具(如 SQL 客户端)来更改主用户密码,则可能会无意中取消用户的权限。