Amazon Aurora のセキュリティのベストプラクティス - Amazon Aurora

Amazon Aurora のセキュリティのベストプラクティス

AWS Identity and Access Management (IAM) アカウントを使用して、Amazon RDS API オペレーション、特に Amazon Aurora リソースの作成、変更、削除を行うオペレーションへのアクセスを制御します。そのようなリソースには、DB クラスター、セキュリティグループ、およびパラメータグループなどがあります。また、IAM を使用して、DB クラスターのバックアップや復元など、一般的な管理アクションを実行するアクションも制御します。

  • Amazon Aurora リソースを管理するユーザー (本人を含む) ごとに個別の IAM ユーザーを作成します。Amazon Aurora リソースの管理には、AWS ルート認証情報を使用しないでください。

  • それぞれの職務の実行に最低限必要になる一連のアクセス許可を各ユーザーに付与します。

  • IAM グループを使用して、複数のユーザーのアクセス許可を効果的に管理します。

  • IAM 認証情報のローテーションを定期的に行います。

  • Amazon Aurora のシークレットが自動的にローテーションされるように、AWS Secrets Manager を設定します。詳細については、AWS Secrets Manager ユーザーガイドの「AWS Secrets Manager シークレットのローテーション」を参照してください。認証情報は、AWS Secrets Manager プログラムから取得することもできます。詳細については、AWS Secrets Manager ユーザーガイドの「シークレット値の取得」を参照してください。

Amazon Aurora でのセキュリティの詳細については、「Amazon Aurora でのセキュリティ」を参照してください。IAM の詳細については、「AWS Identity and Access Management」を参照してください。IAM のベストプラクティスについては、「IAM のベストプラクティス」を参照してください。

AWS Management Console、AWS CLI、RDS API を使用して、マスターユーザーのパスワードを変更します。SQL クライアントなどの別のツールを使用する場合、マスターユーザーのパスワードを変更すると、ユーザーの権限が意図せずに取り消される可能性があります。