Amazon Aurora のセキュリティのベストプラクティス

AWS Identity and Access Management (IAM) アカウントを使用して、Amazon RDS API オペレーション、特に Amazon Aurora リソースの作成、変更、削除を行うオペレーションへのアクセスを制御します。そのようなリソースには、DB クラスター、セキュリティグループ、およびパラメータグループなどがあります。また、IAM を使用して、DB クラスターのバックアップや復元など、一般的な管理アクションを実行するアクションも制御します。

Amazon Aurora リソースを管理するユーザー (本人を含む) ごとに個別のユーザーを作成します。Amazon Aurora リソースの管理には、AWS ルート認証情報を使用しないでください。
それぞれの職務の実行に最低限必要になる一連のアクセス許可を各ユーザーに付与します。
IAM グループを使用して、複数のユーザーのアクセス許可を効果的に管理します。
IAM 認証情報のローテーションを定期的に行います。
Amazon Aurora のシークレットが自動的にローテーションされるように､AWS Secrets Manager を設定します。詳細については、AWS Secrets Manager ユーザーガイドの「AWS Secrets Manager シークレットのローテーション」を参照してください。認証情報は、AWS Secrets Manager プログラムから取得することもできます。詳細については、AWS Secrets Manager ユーザーガイドの「シークレット値の取得」を参照してください。

Amazon Aurora でのセキュリティの詳細については、「Amazon Aurora でのセキュリティ」を参照してください。IAM の詳細については、「AWS Identity and Access Management」を参照してください。IAM のベストプラクティスについては、「IAM のベストプラクティス」を参照してください。

AWS Security Hub は、セキュリティコントロールを使用してリソース設定とセキュリティ標準を評価し、お客様がさまざまなコンプライアンスフレームワークに準拠できるようサポートします。Security Hub を使用して RDS リソースを評価する方法の詳細については、AWS Security Hub ユーザーガイドの「Amazon Relational Database Service controls」(Amazon リレーショナルデータベースサービスコントロール) を参照してください。

Security Hub を使用して、セキュリティのベストプラクティスに関連する RDS の使用状況をモニタリングできます。詳細については、「AWS Security Hub とは何ですか?」を参照してください。

AWS Management Console、AWS CLI、RDS API を使用して、マスターユーザーのパスワードを変更します。SQL クライアントなどの別のツールを使用する場合、マスターユーザーのパスワードを変更すると、ユーザーの権限が意図せずに取り消される可能性があります。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

VPC エンドポイント (AWS PrivateLink)

セキュリティグループによるアクセス制御