Práticas recomendadas de segurança do Amazon Aurora
Use contas do AWS Identity and Access Management (IAM) para controlar o acesso a operações da API do Amazon RDS, especialmente operações que criam, modificam ou excluem recursos do Amazon Aurora. Esses recursos incluem clusters de de banco de dados, grupos de segurança e parâmetro. Além disso, use o IAM para controlar ações que executam ações administrativas comuns, como fazer backup e restaurar clusters de de banco de dados.
Crie um usuário individual para cada pessoa que gerencia recursos do Amazon Aurora, incluindo você mesmo. Não use as credenciais raiz da AWS para gerenciar recursos do Amazon Aurora.
Conceda a cada usuário o conjunto mínimo de permissões necessárias para realizar suas funções.
Use grupos do IAM para gerenciar efetivamente permissões para vários usuários.
Mude suas credenciais do IAM regularmente.
Configure o AWS Secrets Manager para alternar automaticamente os segredos para o Amazon Aurora. Para ter mais informações, consulte Alternar os segredos do AWS Secrets Manager no Guia do usuário do AWS Secrets Manager. Também é possível recuperar a credencial do AWS Secrets Manager forma programática. Para ter mais informações, consulte Recuperar o valor do segredo no Guia do usuário do AWS Secrets Manager.
Para ter mais informações sobre a segurança do Amazon Aurora, consulte Segurança no Amazon Aurora. Para ter mais informações sobre o IAM, consulte AWS Identity and Access Management. Para obter informações sobre as práticas recomendadas do IAM, acesse Melhores práticas do IAM.
O AWS Security Hub utiliza controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir várias frameworks de conformidade. Para ter mais informações sobre como usar o Security Hub para avaliar os recursos do RDS, consulte Controles do Amazon Relational Database Service no Guia do usuário do AWS Security Hub.
É possível monitorar o uso do IAM em relação às práticas recomendadas de segurança com o Security Hub. Para ter mais informações, consulte O que é o AWS Security Hub?.
Use o AWS Management Console, a AWS CLI ou a API do RDS para alterar a senha do usuário mestre. Se você usar outra ferramenta, como um cliente SQL, para alterar a senha do usuário mestre, isso poderá resultar na revogação de privilégios ao usuário involuntariamente.
O Amazon GuardDuty é um serviço contínuo de monitoramento de segurança que analisa e processa uma série de fontes de dados, incluindo a atividade de login do Amazon RDS. Ele usa feeds de inteligência sobre ameaças e machine learning para identificar atividades inesperadas e possivelmente não autorizadas e mal-intencionadas no ambiente da AWS.
Quando a Proteção RDS do Amazon GuardDuty detecta uma ameaça em potencial ou uma tentativa de login anômala que indica uma ameaça ao banco de dados, o GuardDuty gera uma nova descoberta com detalhes sobre o banco de dados possivelmente comprometido. Para ter mais informações, consulte Monitorar ameaças com o Amazon GuardDuty RDS Protection.