Bewährte Methoden - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden

Wir empfehlen, Amazon-RDS-Proxy so zu konfigurieren, dass eine Verbindung zu Amazon-RDS-Datenbanken über Sicherheitsmechanismen wie TLS/SSL hergestellt wird. RDS-Proxy kann als zusätzliche Sicherheitsebene zwischen Clientanwendungen und der zugrunde liegenden Datenbank fungieren. RDS-Proxy unterstützt die TLS-Protokollversion 1.2. RDS Proxy verwendet Zertifikate von AWS Certificate Manager (ACM), was die Rotation von Zertifikaten ermöglicht, ohne dass die Proxyverbindung aktualisiert werden muss.

Wir empfehlen außerdem die Verwendung einer AWS Identity and Access Management (IAM) -basierten Authentifizierung für RDS Proxy. In dieser Konfiguration autorisieren Sie den RDS-Proxy-Endpunkt, das geheime Amazon RDS-Datenbankgeheimnis (das den Benutzernamen und das Passwort enthält) von AWS Secrets Manager abzurufen. Secrets Manager behandelt die Benutzernamen und Passwörter der Amazon-RDS-Datenbank vertraulich und kann die Passwörter in definierten regelmäßigen Intervallen wechseln. Weitere Informationen zur Sicherheits- und Authentifizierungseinrichtung von RDS-Proxy finden Sie in der AWS -Dokumentation.

Verbindungs-Pinning ist eine wichtige Metrik, die sowohl für die Amazon-RDS-für-PostgreSQL-Datenbank als auch für den RDS-Proxy-Endpunkt überwacht werden muss. Ein Pinning tritt auf, wenn sich eine Client-Sitzung auf Statusinformationen aus früheren Anfragen stützt und die Datenbank es der Client-Sitzung daher nicht ermöglicht, Transaktionen über verschiedene Datenbankverbindungen auszuführen. Das Pinning kann verursacht werden durch die Verwendung von SET-Befehlen oder durch die Erstellung temporärer Sequenzen, Tabellen oder Ansichten. Dies führt zu einer Verringerung des Multiplexings des Proxys, d. h. zu einer Verringerung der verfügbaren Verbindungen für den Client über den RDS-Proxy. Überwachen Sie die folgenden CloudWatch Amazon-Metriken, um nach gepinnten Verbindungen zu suchen:

  • ClientConnections

  • DatabaseConnections

  • MaxDatabaseConnectionsAllowed

  • DatabaseConnectionsCurrentlySessionPinned

Weitere Informationen finden Sie unter Workshop für Amazon RDS für PostgreSQL.