Praktik terbaik

Sebaiknya konfigurasi Amazon RDS Proxy untuk terhubung ke database Amazon RDS menggunakan mekanisme keamanan seperti TLS/SSL. Dengan cara ini, RDS Proxy dapat bertindak sebagai lapisan keamanan tambahan antara aplikasi klien dan database. RDS Proxy mendukung protokol TLS versi 1.2. RDS Proxy menggunakan sertifikat dari AWS Certificate Manager (ACM), yang memungkinkan rotasi sertifikat tanpa perlu memperbarui koneksi proxy.

Kami juga merekomendasikan penggunaan otentikasi berbasis AWS Identity and Access Management (IAM) untuk RDS Proxy. Dalam konfigurasi ini, Anda mengotorisasi endpoint RDS Proxy untuk mengambil rahasia database Amazon RDS (berisi nama pengguna dan kredensyal kata sandi) dari. AWS Secrets Manager Secrets Manager menjaga kerahasiaan nama pengguna dan kata sandi database Amazon RDS dan dapat memutar kata sandi secara berkala yang ditentukan. Untuk detail lebih lanjut tentang pengaturan keamanan dan otentikasi Proxy RDS, lihat dokumentasinya.AWS

Penyematan koneksi adalah metrik penting untuk memantau baik database Amazon RDS for PostgreSQL dan endpoint RDS Proxy. Pinning terjadi ketika sesi klien bergantung pada informasi status dari permintaan sebelumnya, sehingga database tidak memungkinkan sesi klien untuk menjalankan transaksi di koneksi database yang berbeda. Penyematan dapat disebabkan oleh penggunaan SET perintah atau dengan membuat urutan sementara, tabel, atau tampilan. Hal ini mengakibatkan penurunan multiplexing proxy—yaitu, penurunan koneksi yang tersedia untuk klien dari RDS Proxy. Untuk memeriksa koneksi yang disematkan, pantau CloudWatch metrik Amazon berikut:

• ClientConnections

• DatabaseConnections

• MaxDatabaseConnectionsAllowed

• DatabaseConnectionsCurrentlySessionPinned

Untuk informasi selengkapnya, lihat lokakarya Amazon RDS for PostgreSQL.