Práticas recomendadas de segurança do Amazon RDS
Use contas do AWS Identity and Access Management (IAM) para controlar o acesso a operações da API do Amazon RDS, especialmente operações que criam, modificam ou excluem recursos do Amazon RDS. Esses recursos incluem clusters de instâncias, grupos de segurança e parâmetro. Além disso, use o IAM para controlar ações que executam ações administrativas comuns, como fazer backup e restaurar clusters de instâncias.
Crie um usuário individual para cada pessoa que gerencia recursos do Amazon RDS, incluindo você mesmo. Não use as credenciais raiz da AWS para gerenciar recursos do Amazon RDS.
Conceda a cada usuário o conjunto mínimo de permissões necessárias para realizar suas funções.
Use grupos do IAM para gerenciar efetivamente permissões para vários usuários.
Mude suas credenciais do IAM regularmente.
Configure o AWS Secrets Manager para alternar automaticamente os segredos para o Amazon RDS. Para ter mais informações, consulte Alternar os segredos do AWS Secrets Manager no Guia do usuário do AWS Secrets Manager. Também é possível recuperar a credencial do AWS Secrets Manager forma programática. Para ter mais informações, consulte Recuperar o valor do segredo no Guia do usuário do AWS Secrets Manager.
Para ter mais informações sobre a segurança do Amazon RDS, consulte Segurança no Amazon RDS. Para ter mais informações sobre o IAM, consulte AWS Identity and Access Management. Para obter informações sobre as práticas recomendadas do IAM, acesse Melhores práticas do IAM.
O AWS Security Hub utiliza controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir várias frameworks de conformidade. Para ter mais informações sobre como usar o Security Hub para avaliar os recursos do RDS, consulte Controles do Amazon Relational Database Service no Guia do usuário do AWS Security Hub.
É possível monitorar o uso do IAM em relação às práticas recomendadas de segurança com o Security Hub. Para ter mais informações, consulte O que é o AWS Security Hub?.
Use o AWS Management Console, a AWS CLI ou a API do RDS para alterar a senha do usuário mestre. Se você usar outra ferramenta, como um cliente SQL, para alterar a senha do usuário mestre, isso poderá resultar na revogação de privilégios ao usuário involuntariamente.