Amazon Aurora의 보안 모범 사례
AWS Identity and Access Management(IAM) 계정을 사용해 Amazon RDS API 작업, 특히 Amazon Aurora 리소스를 생성하거나, 수정하거나, 삭제하는 작업에 대한 액세스를 제어합니다. 이러한 리소스 중에는 DB 클러스터, 보안 그룹 및 파라미터 그룹이 있습니다. 또한 IAM 을 사용해 DB 클러스터 백업 및 복구 같은 공통 관리 작업을 수행하는 작업을 제어합니다.
-
본인을 포함하여 Amazon Aurora 리소스를 관리하는 각 개인에 대해 개별 사용자를 생성합니다. AWS 루트 자격 증명을 사용하여 Amazon Aurora 리소스를 관리하지 마세요.
-
각 사용자에게 각자의 임무를 수행하는 데 필요한 최소 권한 집합을 부여합니다.
-
IAM 그룹을 사용해 여러 사용자에 대한 권한을 효과적으로 관리합니다.
-
IAM 자격 증명을 정기적으로 순환합니다.
-
Amazon Aurora 비밀을 자동으로 교체할 수 있도록 AWS Secrets Manager를 구성합니다. 자세한 내용은 AWS Secrets Manager 사용 설명서에서 AWS Secrets Manager 비밀 교체를 참조하세요. AWS Secrets Manager 프로그래밍 방식에서 자격 증명을 검색할 수도 있습니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 비밀 값 검색을 참조하세요.
Amazon Aurora 보안에 대한 자세한 내용은 Amazon Aurora의 보안 섹션을 참조하세요. IAM에 대한 자세한 내용은 AWS Identity and Access Management 단원을 참조하십시오. IAM 모범 사례에 대한 자세한 내용은 IAM 모범 사례 단원을 참조하십시오.
AWS Security Hub는 보안 제어를 사용하여 리소스 구성 및 보안 표준을 평가하여 다양한 규정 준수 프레임워크를 준수할 수 있도록 지원합니다. Security Hub를 사용하여 RDS 리소스를 평가하는 방법에 대한 자세한 내용은 AWS Security Hub 사용 설명서의 Amazon Relational Database Service 제어를 참조하세요.
Security Hub를 사용하여 보안 모범 사례와 관련된 RDS의 사용량을 모니터링할 수 있습니다. 자세한 내용은 AWS Security Hub란 무엇인가요?를 참조하세요.
AWS Management Console, AWS CLI 또는 RDS API를 사용하여 마스터 사용자의 암호를 변경합니다. SQL 클라이언트 등과 같은 다른 도구를 사용하여 마스터 사용자 암호를 변경할 경우 의도치 않게 사용자에 대해 권한이 취소될 수 있습니다.
Amazon GuardDuty는 Amazon RDS 로그인 활동을 비롯한 다양한 데이터 소스를 분석하고 처리하는 지속적 보안 모니터링 서비스입니다. 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경 내에서 예기치 않게 발생하는 무단의 잠재적인 의심스러운 로그인 동작과 악의적 활동을 찾아냅니다.
Amazon GuardDuty RDS 보호에서 데이터베이스에 대한 위협을 나타내는 잠재적으로 의심스럽거나 변칙적인 로그인 시도가 탐지되면 GuardDuty는 손상되었을지도 모르는 데이터베이스 관련 세부 정보가 포함된 새 조사 결과를 생성합니다. 자세한 내용은 Amazon GuardDuty RDS Protection을 이용한 위협 모니터링 단원을 참조하십시오.