Amazon DocumentDB 的安全最佳实践 - Amazon DocumentDB
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon DocumentDB 的安全最佳实践

出于安全考虑,您必须使用 AWS Identity and Access Management (IAM) 账户来控制对 Amazon DocumentDB API 操作的访问,尤其是创建、修改或删除 Amazon DocumentDB 资源的操作。此类资源包括集群、安全组和参数组。此外,您还必须使用 IAM 来控制执行常见管理任务的操作,例如备份和还原集群。创建 IAM 角色时,请采用最小权限原则。

  • 使用基于角色的访问控制强制执行最低权限。

  • 为每个管理 Amazon DocumentDB 资源的人员分配个人 IAM 账户。请勿使用 AWS 账户根用户来管理 Amazon DocumentDB 资源。为每个人(包括您自己)创建一个 IAM 用户。

  • 授予每位用户履行其职责所需的最小权限集。

  • 使用 IAM 组有效地管理适用于多个用户的权限。有关 IAM 的更多信息,请参阅 IAM 用户指南。有关 IAM 最佳实践的信息,请参阅 IAM 最佳实践

  • 定期轮换 IAM 凭证。

  • 配置 AWS Secrets Manager 以自动轮换 Amazon DocumentDB 的密钥。有关更多信息,请参阅 AWS Secrets Manager 用户指南 中的轮换 AWS Secrets Manager 密钥轮换 Amazon DocumentDB 的密钥

  • 使用传输层安全性 (TLS) 和静态加密来加密您的数据。