Bewährte Methoden für die Sicherheit in Amazon Aurora - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in Amazon Aurora

Verwenden Sie AWS Identity and Access Management (IAM-) Konten, um den Zugriff auf Amazon RDS-API-Operationen zu kontrollieren, insbesondere auf Operationen, die Aurora erstellen, ändern oder löschen. Zu solchen Ressourcen gehören DB- Cluster, Sicherheitsgruppen und Parametergruppen. Verwenden Sie zudem IAM zur Steuerung der Aktionen, die allgemeine administrative Aktionen wie die Sicherung und Wiederherstellung von DB-Clustern ausführen.

  • Erstellen Sie einen individuellen Benutzer für jede Person, die Ressourcen von Amazon Aurora verwaltet, einschließlich Sie selbst. Verwenden Sie keine AWS Root-Anmeldeinformationen, um Aurora Aurora-Ressourcen zu verwalten.

  • Gewähren Sie jedem Benutzer nur den Mindestsatz an Berechtigungen, die für die Ausführung seiner Aufgaben erforderlich sind.

  • Verwenden Sie IAM-Gruppen, um Berechtigungen für mehrere Benutzer effektiv zu verwalten.

  • Wechseln Sie regelmäßig die IAM-Anmeldeinformationen.

  • Konfigurieren AWS Secrets Manager Sie so, dass die Secrets für Aurora automatisch rotiert werden. Weitere Informationen finden Sie unter Rotation Ihrer AWS Secrets Manager Geheimnisse im AWS Secrets Manager Benutzerhandbuch. Sie können die Anmeldeinformationen auch AWS Secrets Manager programmgesteuert von abrufen. Weitere Informationen finden Sie unter Abrufen des Secret-Wertes im AWS Secrets Manager -Benutzerhandbuch.

Weitere Informationen zur Sicherheit von Amazon Aurora finden Sie unter Sicherheit in Amazon Aurora. Weitere Informationen zu IAM finden Sie unter AWS Identity and Access Management. Informationen zu den bewährten Methoden für IAM finden Sie unter Bewährte Methoden für IAM.

AWS Security Hub verwendet Sicherheitskontrollen, um Ressourcenkonfigurationen und Sicherheitsstandards zu bewerten und Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen zur Verwendung von Security Hub zur Evaluierung von RDS-Ressourcen finden Sie unter Amazon Relational Database Service Controls im AWS Security Hub Benutzerhandbuch.

Sie können Ihre Nutzung von RDS in Bezug auf bewährte Sicherheitsmethoden mithilfe von Security Hub überwachen. Weitere Informationen finden Sie unter Was ist AWS Security Hub? .

Verwenden Sie die AWS Management Console AWS CLI, die oder die RDS-API, um das Passwort für Ihren Masterbenutzer zu ändern. Falls Sie zum Ändern des Hauptbenutzerpassworts ein anderes Tool verwenden, beispielsweise einen SQL-Client, werden dem Benutzer unter Umständen ohne Absicht seine Berechtigungen entzogen.

Amazon GuardDuty ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung, der verschiedene Datenquellen analysiert und verarbeitet, einschließlich Amazon RDS-Anmeldeaktivitäten. Er verwendet Feeds mit Bedrohungsinformationen und maschinelles Lernen, um unerwartetes, potenziell nicht autorisiertes, verdächtiges Anmeldeverhalten und böswillige Aktivitäten in Ihrer AWS Umgebung zu identifizieren.

Wenn Amazon GuardDuty RDS Protection einen potenziell verdächtigen oder anomalen Anmeldeversuch erkennt, der auf eine Bedrohung für Ihre Datenbank hinweist, GuardDuty generiert Amazon RDS Protection ein neues Ergebnis mit Details über die potenziell gefährdete Datenbank. Weitere Informationen finden Sie unter Überwachung von Bedrohungen mit Amazon GuardDuty RDS Protection.