Amazon DocumentDB 的安全最佳实践 - Amazon DocumentDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon DocumentDB 的安全最佳实践

出于安全考虑,您必须使用 Amazon Identity and Access Management(IAM)账户来控制对 Amazon DocumentDB API 操作的访问,尤其是创建、修改或删除 Amazon DocumentDB 资源的操作。此类资源包括集群、安全组和参数组。此外,您还必须使用 IAM 来控制执行常见管理任务的操作,例如备份和还原集群。创建 IAM 角色时,请采用最低权限原则。

  • 使用基于角色的访问控制强制执行最低权限。

  • 为每个管理 Amazon DocumentDB 资源的人员分配个人 IAM 账户。请勿使用Amazon Web Services 账户根用户管理 Amazon DocumentDB 资源。为每个人(包括您自己)创建一个 IAM 用户。

  • 授予每位用户履行其职责所需的最小权限集。

  • 使用 IAM 组有效地管理适用于多个用户的权限。有关 IAM 的更多信息,请参阅 IAM 用户指南。有关 IAM 最佳实践的信息,请参阅 IAM 最佳实践

  • 定期轮换 IAM 凭证。

  • 配置 Amazon Secrets Manager 以自动轮换 Amazon DocumentDB 的密钥。更多信息请参阅Amazon Secrets Manager 用户指南中的轮换您的Amazon Secrets Manager 密钥轮换 Amazon DocumentDB 的密钥

  • 使用传输层安全性协议(TLS)和静态加密来加密您的数据。