Praktik terbaik keamanan untuk Aurora - Amazon Aurora:

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk Aurora

Gunakan AWS Identity and Access Management (IAM) akun untuk mengontrol akses ke RDS API operasi Amazon, terutama operasi yang membuat, memodifikasi, atau menghapus sumber daya Aurora Amazon. Sumber daya tersebut termasuk klaster DB, grup keamanan, dan grup parameter. Juga gunakan IAM untuk mengontrol tindakan yang melakukan tindakan administratif umum seperti mencadangkan dan memulihkan cluster DB.

  • Buat pengguna individual untuk setiap orang yang mengelola sumber daya Aurora, termasuk Anda sendiri. Jangan gunakan AWS kredensi root untuk mengelola sumber daya Amazon Aurora.

  • Beri setiap pengguna set izin minimum yang diperlukan untuk melakukan tugas-tugasnya.

  • Gunakan IAM grup untuk mengelola izin secara efektif untuk beberapa pengguna.

  • Putar IAM kredensi Anda secara teratur.

  • Konfigurasi AWS Secrets Manager untuk secara otomatis memutar rahasia untuk Aurora. Untuk informasi selengkapnya, lihat Memutar AWS Secrets Manager rahasia di AWS Secrets Manager Panduan Pengguna. Anda juga dapat mengambil kredensialnya dari AWS Secrets Manager secara terprogram. Untuk informasi selengkapnya, lihat Mengambil nilai rahasia di AWS Secrets Manager Panduan Pengguna.

Untuk informasi selengkapnya tentang keamanan Amazon Aurora, lihat. Keamanan di Aurora Untuk informasi selengkapnyaIAM, lihat AWS Identity and Access Management. Untuk informasi tentang praktik IAM terbaik, lihat praktik IAM terbaik.

AWS Security Hub menggunakan kontrol keamanan untuk mengevaluasi konfigurasi sumber daya dan standar keamanan untuk membantu Anda mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya tentang menggunakan Security Hub guna mengevaluasi RDS sumber daya, lihat kontrol Layanan Amazon Relational Database Service di AWS Security Hub Panduan Pengguna.

Anda dapat memantau penggunaan yang RDS berkaitan dengan praktik terbaik keamanan dengan menggunakan Security Hub. Untuk informasi lebih lanjut, lihat Apa itu AWS Security Hub?.

Gunakan AWS Management Console, AWS CLI, atau RDS API untuk mengubah kata sandi untuk pengguna utama Anda. Jika Anda menggunakan alat lain, seperti SQL klien, untuk mengubah kata sandi pengguna utama, itu mungkin mengakibatkan hak istimewa dicabut untuk pengguna secara tidak sengaja.

Amazon GuardDuty adalah layanan pemantauan keamanan berkelanjutan yang menganalisis dan memproses berbagai sumber data, termasuk aktivitas RDS login Amazon. Ini menggunakan umpan intelijen ancaman dan pembelajaran mesin untuk mengidentifikasi perilaku login yang tidak terduga, berpotensi tidak sah, mencurigakan, dan aktivitas berbahaya di dalam AWS lingkungan.

Saat Amazon GuardDuty RDS Protection mendeteksi upaya login yang berpotensi mencurigakan atau anomali yang menunjukkan ancaman terhadap database Anda, GuardDuty buat temuan baru dengan detail tentang database yang berpotensi disusupi. Untuk informasi selengkapnya, lihat Memantau ancaman dengan Amazon GuardDuty RDS Protection.