Bonnes pratiques - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques

Nous vous recommandons de configurer Proxy Amazon RDS pour qu'il se connecte aux bases de données Amazon RDS à l'aide de mécanismes de sécurité tels que TLS/SSL. Ainsi, Proxy RDS peut agir comme une couche de sécurité supplémentaire entre les applications clientes et la base de données. Proxy RDS prend en charge le protocole TLS version 1.2. RDS Proxy utilise des certificats provenant de AWS Certificate Manager (ACM), ce qui permet la rotation des certificats sans qu'il soit nécessaire de mettre à jour la connexion proxy.

Nous recommandons également l'utilisation de l'authentification basée sur AWS Identity and Access Management (IAM) pour le proxy RDS. Dans cette configuration, vous autorisez le point de terminaison du proxy RDS à récupérer le secret de la base de données Amazon RDS (contenant le nom d'utilisateur et les informations d'identification du mot de passe) auprès de. AWS Secrets Manager Secrets Manager préserve la confidentialité des noms d'utilisateur et des mots de passe de la base de données Amazon RDS et peut effectuer une rotation des mots de passe à intervalles réguliers définis. Pour plus de détails sur la configuration de la sécurité et de l'authentification de Proxy RDS, veuillez consulter la documentation AWS.

La connexion de l'épinglage est une métrique importante à surveiller à la fois pour la base de données Amazon RDS for PostgreSQL et pour le point de terminaison de Proxy RDS. L'épinglage se produit lorsqu'une session client s'appuie sur des informations d'état provenant de demandes précédentes, de sorte que la base de données ne permet pas à la session client d'exécuter des transactions sur différentes connexions à la base de données. L'épinglage peut être causé par l'utilisation de commandes SET ou en créant des séquences, des tables ou des vues temporaires. Cela entraîne une diminution du multiplexage du proxy, c'est-à-dire une diminution des connexions disponibles pour le client à partir de Proxy RDS. Pour vérifier la présence de connexions épinglées, surveillez les CloudWatch statistiques Amazon suivantes :

  • ClientConnections

  • DatabaseConnections

  • MaxDatabaseConnectionsAllowed

  • DatabaseConnectionsCurrentlySessionPinned

Pour plus d'informations, veuillez consulter l'atelier Amazon RDS for PostgreSQL.