Bonnes pratiques de sécurité pour Amazon DocumentDB

Pour respecter les meilleures pratiques en matière de sécurité, vous devez utiliser des comptes AWS Identity and Access Management (IAM) pour contrôler l'accès aux opérations de l'API Amazon DocumentDB, en particulier aux opérations qui créent, modifient ou suppriment des ressources Amazon DocumentDB. Les ressources de ce type incluent les clusters, les groupes de sécurité et les groupes de paramètres. Vous devez également utiliser IAM pour contrôler les actions qui exécutent des actions administratives courantes, telles que la sauvegarde et la restauration de clusters. Lorsque vous créez des rôles IAM, appliquez le principe du moindre privilège.

• Appliquez le principe du moindre privilège avec le contrôle d'accès basé sur les rôles.

• Attribuez un compte IAM individuel à chaque personne qui gère les ressources Amazon DocumentDB. N'utilisez pas l'utilisateur Compte AWS root pour gérer les ressources Amazon DocumentDB. Créez un utilisateur IAM pour chaque personne, y compris vous-même.

• Accordez à chaque utilisateur l'ensemble minimum d'autorisations requises pour exécuter ses tâches.

• Utilisez des groupes IAM pour gérer efficacement des autorisations pour plusieurs utilisateurs. Pour de plus amples informations sur IAM, veuillez consulter le Guide de l'utilisateur IAM. Pour de plus amples informations sur les bonnes pratiques IAM, veuillez consulter Bonnes pratiques IAM.

• Effectuez une rotation régulière des informations d'identification IAM.

• Configurez AWS Secrets Manager pour qu'il fasse automatiquement pivoter les secrets pour Amazon DocumentDB. Pour plus d'informations, consultez Rotating Your AWS Secrets Manager secrets et Rotating Secrets for Amazon DocumentDB dans le guide de l'utilisateur de AWS Secrets Manager.

• Utilisez le protocole TLS (Transport Layer Security) et le chiffrement au repos pour chiffrer vos données.