本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon DocumentDB 的安全最佳实践
出于安全考虑,您必须使用 Amazon Identity and Access Management (IAM) 账户来控制对 Amazon DocumentDB API 操作的访问,尤其是创建、修改或删除 Amazon DocumentDB 资源的操作。此类资源包括集群、安全组和参数组。此外,您还必须使用 IAM 来控制执行常见管理任务的操作,例如备份和还原集群。创建 角色时,请采用最小权限原则。
-
使用基于角色的访问控制强制执行最低权限。
-
为每个管理 Amazon DocumentDB 资源的人员分配个人 IAM 账户。请勿使用 Amazon Web Services 账户 根用户管理 Amazon DocumentDB 资源。为每个人(包括您自己)创建一个 IAM 用户。
-
授予每位用户履行其职责所需的最小权限集。
-
使用 IAM 组有效地管理适用于多个用户的权限。有关 IAM 的更多信息,请参阅 IAM 用户指南。有关 IAM 最佳实践的信息,请参阅 IAM 最佳实践。
-
定期轮换 IAM 凭证。
-
配置 Amazon Secrets Manager 以自动轮换 Amazon DocumentDB 的密钥。更多信息请参阅Amazon Secrets Manager 用户指南中的轮换您的Amazon Secrets Manager 密钥和轮换 Amazon DocumentDB 的密钥。
-
使用传输层安全性协议(TLS)和静态加密来加密您的数据。