Bewährte Methoden für die Sicherheit in Amazon RDS - Amazon Relational Database Service

Bewährte Methoden für die Sicherheit in Amazon RDS

Verwenden Sie AWS Identity and Access Management (IAM)-Konten zur Steuerung des Zugriffs auf Amazon RDS-API-Operationen, insbesondere Operationen, mit denen Amazon RDS-Ressourcen erstellt, geändert oder gelöscht werden. Zu solchen Ressourcen gehören DB- Instances, Sicherheitsgruppen und Parametergruppen. Verwenden Sie zudem IAM zur Steuerung der Aktionen, die allgemeine administrative Aktionen wie die Sicherung und Wiederherstellung von DB-Instances ausführen.

  • Erstellen Sie einen individuellen IAM-Benutzer für jede Person, die Amazon RDS-Ressourcen verwaltet, einschließlich Sie selbst. Verwenden Sie keine AWS-Root-Anmeldeinformationen zum Verwalten von Amazon RDS-Ressourcen.

  • Gewähren Sie jedem Benutzer nur den Mindestsatz an Berechtigungen, die für die Ausführung seiner Aufgaben erforderlich sind.

  • Verwenden Sie IAM-Gruppen, um Berechtigungen für mehrere Benutzer effektiv zu verwalten.

  • Wechseln Sie regelmäßig die IAM-Anmeldeinformationen.

  • Konfigurieren Sie AWS Secrets Manager so, dass die Geheimnisse für Amazon RDS automatisch rotiert werden. Weitere Informationen finden Sie unter Rotieren von AWS Secrets Manager-Secrets im AWS Secrets Manager-Benutzerhandbuch. Sie können die Anmeldeinformationen auch programmgesteuert aus AWS Secrets Manager abrufen. Weitere Informationen finden Sie unter Abrufen des Secret-Wertes im AWS Secrets Manager-Benutzerhandbuch.

Weitere Informationen zu IAM finden Sie unter AWS Identity and Access Management. Informationen zu den bewährten Methoden für IAM finden Sie unter Bewährte Methoden für IAM.

Verwenden Sie die AWS Management Console, die AWS CLI oder die RDS-API zum Ändern des Passworts für den Hauptbenutzer. Falls Sie zum Ändern des Hauptbenutzerpassworts ein anderes Tool verwenden, beispielsweise einen SQL-Client, werden dem Benutzer unter Umständen ohne Absicht seine Berechtigungen entzogen.