Prácticas recomendadas - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas

Recomendamos configurar Amazon RDS Proxy para que se conecte a las bases de datos de Amazon RDS mediante mecanismos de seguridad como TLS/SSL. De esta manera, RDS Proxy puede actuar como una capa adicional de seguridad entre las aplicaciones de cliente y la base de datos. RDS Proxy es compatible con la versión 1.2 del protocolo TLS. El proxy RDS utiliza certificados de AWS Certificate Manager (ACM), lo que permite la rotación de certificados sin necesidad de actualizar la conexión del proxy.

También recomendamos el uso de la autenticación basada en AWS Identity and Access Management (IAM) para el proxy RDS. En esta configuración, usted autoriza al punto final del proxy de RDS a recuperar el secreto de la base de datos de Amazon RDS (que contiene las credenciales del nombre de usuario y la contraseña) de. AWS Secrets Manager Secrets Manager mantiene la confidencialidad de los nombres de usuario y contraseñas de la base de datos de Amazon RDS y puede rotar las contraseñas en intervalos regulares definidos. Para obtener más información sobre la configuración de seguridad y autenticación de RDS Proxy, consulte la documentación de AWS.

La fijación de conexiones es una métrica importante que se debe monitorear tanto para la base de datos de Amazon RDS para PostgreSQL como para el punto de conexión de RDS Proxy. La fijación se produce cuando la sesión de un cliente se basa en la información de estado de solicitudes anteriores y, por lo tanto, la base de datos no permite que la sesión del cliente ejecute transacciones en diferentes conexiones de bases de datos. El uso de los comandos SET o la creación de secuencias, tablas o vistas temporales pueden causar la fijación. Esto se traduce en una disminución de la multiplexación del proxy, es decir, en una disminución de las conexiones disponibles para el cliente desde RDS Proxy. Para comprobar si hay conexiones bloqueadas, supervisa las siguientes CloudWatch métricas de Amazon:

  • ClientConnections

  • DatabaseConnections

  • MaxDatabaseConnectionsAllowed

  • DatabaseConnectionsCurrentlySessionPinned

A fin de obtener más información, consulte el Taller sobre Amazon RDS para PostgreSQL.