모범 사례

TLS/SSL과 같은 보안 메커니즘을 사용하여 Amazon RDS 데이터베이스에 연결하도록 Amazon RDS 프록시를 구성하는 것이 좋습니다. 이러한 방식으로 RDS 프록시는 클라이언트 애플리케이션과 데이터베이스 간의 추가 보안 계층의 역할을 할 수 있습니다. RDS 프록시는 TLS 프로토콜 버전 1.2를 지원합니다. RDS 프록시는 AWS Certificate Manager (ACM)의 인증서를 사용하므로 프록시 연결을 업데이트할 필요 없이 인증서를 교체할 수 있습니다.

또한 RDS 프록시에 대해 AWS Identity and Access Management (IAM) 기반 인증을 사용하는 것이 좋습니다. 이 구성에서는 RDS 프록시 엔드포인트에 Amazon RDS 데이터베이스 보안 암호(사용자 이름 및 암호 자격 증명 포함)를 검색할 수 있는 권한을 부여합니다 AWS Secrets Manager. Secrets Manager는 Amazon RDS 데이터베이스 사용자 이름과 암호를 기밀로 유지하고 정의된 정기적인 간격으로 암호를 교체할 수 있습니다. RDS 프록시의 의 보안 및 인증 설정에 대한 자세한 내용은 AWS 설명서를 참조하세요.

연결 고정은 Amazon RDS for PostgreSQL 데이터베이스와 RDS 프록시 엔드포인트를 모두 모니터링하는 중요한 지표입니다. 고정은 클라이언트 세션이 이전 요청의 상태 정보에 의존할 때 발생하므로 데이터베이스는 클라이언트 세션이 서로 다른 데이터베이스 연결에서 트랜잭션을 실행할 수 없도록 합니다. 고정은 SET 명령을 사용하거나 임시 시퀀스, 테이블 또는 뷰를 생성하여 발생할 수 있습니다. 그 결과 프록시의 멀티플렉싱이 감소합니다. 즉, RDS 프록시에서 클라이언트에 사용할 수 있는 연결이 줄어듭니다. 고정된 연결을 확인하려면 다음 Amazon CloudWatch 지표를 모니터링하세요.

• 클라이언트 연결

• DatabaseConnections

• MaxDatabaseConnectionsAllowed

• DatabaseConnectionsCurrentlySessionPinned

자세한 내용은 Amazon RDS for PostgreSQL 워크샵을 참조하세요.