Best practice - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice

Suggeriamo di configurare il Server proxy per Amazon RDS per la connessione ai database Amazon RDS utilizzando meccanismi di sicurezza come TLS/SSL. In questo modo, il Server proxy per RDS può fungere da ulteriore livello di sicurezza tra le applicazioni client e il database. Il Server proxy per RDS supporta il protocollo TLS versione 1.2. RDS Proxy utilizza i certificati di AWS Certificate Manager (ACM), che consentono la rotazione dei certificati senza la necessità di aggiornare la connessione proxy.

Consigliamo inoltre l'uso dell'autenticazione basata su AWS Identity and Access Management (IAM) per RDS Proxy. In questa configurazione, autorizzi l'endpoint RDS Proxy a recuperare il segreto del database Amazon RDS (contenente il nome utente e le credenziali della password) da. AWS Secrets Manager Secrets Manager mantiene riservati i nomi utente e le password del database Amazon RDS e può ruotare le password in base agli intervalli regolari definiti. Per ulteriori dettagli sulla configurazione della sicurezza e dell'autenticazione del Server proxy per RDS, consulta la documentazione AWS.

Il pinning delle connessioni è una metrica importante da monitorare sia per il database Amazon RDS per PostgreSQL che per l'endpoint del Server proxy per RDS. Il pinning si verifica quando una sessione client si basa su informazioni sullo stato ricavate da richieste precedenti, pertanto il database non consente alla sessione client di eseguire transazioni tra diverse connessioni del database. Il pinning può essere causato dall'uso di comandi SET o dalla creazione di sequenze, tabelle o viste temporanee. Ciò comporta una riduzione del multiplexing del proxy, ossia una diminuzione delle connessioni disponibili per il client dal server proxy per RDS. Per verificare la presenza di connessioni bloccate, monitora i seguenti CloudWatch parametri Amazon:

  • ClientConnections

  • DatabaseConnections

  • MaxDatabaseConnectionsAllowed

  • DatabaseConnectionsCurrentlySessionPinned

Per ulteriori informazioni, consulta il workshop su Amazon RDS per PostgreSQL.