Prácticas recomendadas - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas

Para mejorar aún más la configuración de seguridad del sistema de base de datos IBM Db2 en el que se esté ejecutando AWS, utilice las siguientes funciones de Db2.

Caché de autenticación

Estos parámetros de autenticación se introdujeron en la versión 11.5.3.0 de Db2 para mejorar el rendimiento de las autenticaciones basadas en contraseñas cuando las conexiones son de corta duración o cuando el proceso de autenticación está sobrecargado. Cuando se habilita este parámetro, cualquier autenticación basada en contraseñas que se realice correctamente, junto con los resultados de la búsqueda de grupos correspondiente, se almacenan en caché durante un tiempo determinado y configurable. Las solicitudes de conexión entrantes se comparan con las entradas almacenadas en caché para encontrar una coincidencia. Si se encuentra una coincidencia, se establece la conexión, sin pasar por las comprobaciones del sistema operativo o LDAP.

Los parámetros configurables son y. AUTHN_CACHE_USERS AUTHN_CACHE_DURATION

Búfer de auditoría

Al escribir los registros de auditoría en el archivo de registro, el valor del audit_buf_sz parámetro determina si la escritura se realiza de forma sincrónica o asíncrona. Si el valor del parámetro es cero, la escritura se realiza de forma sincrónica y el evento que genera el registro de auditoría espera a que los registros se escriban en el disco. Este tiempo de espera asociado a cada registro provoca un cuello de botella en el rendimiento. Asegúrese de configurar este parámetro con un tamaño de página de 4 KB para que los registros se escriban de forma asíncrona. Los registros de auditoría se almacenan en el búfer y la declaración que genera el registro de auditoría no necesita esperar hasta que los registros de auditoría se graben en el disco. El administrador de la base de datos gestiona automáticamente el vaciado periódico de los registros del búfer en el disco.

DBADM sin DATAACCESS ni ACCESSCRL

De forma predeterminada, cuando se otorga DBADM autoridad a un usuario, rol o grupo, DATAACCESS también se otorgan autoridades. ACCESSCTRL Esto permite al concesionario acceder a los datos de una base de datos y conceder y revocar privilegios dentro de una base de datos. Para mantener la separación de funciones y seguir el principio del mínimo privilegio, proporcione DBADM sin privilegios DATAACCESS y ACCESSCTRL siempre que sea posible.