Práticas recomendadas

Recomendamos a configuração do Amazon RDS Proxy para se conectar aos bancos de dados do Amazon RDS usando mecanismos de segurança como TLS/SSL. Dessa forma, o proxy do RDS pode atuar como uma camada adicional de segurança entre aplicações cliente e o banco de dados. O proxy do RDS oferece suporte ao protocolo TLS versão 1.2. O RDS Proxy usa certificados de AWS Certificate Manager (ACM), o que permite a rotação de certificados sem a necessidade de atualizar a conexão do proxy.

Também recomendamos o uso de autenticação baseada em AWS Identity and Access Management (IAM) para o RDS Proxy. Nessa configuração, você autoriza o endpoint do RDS Proxy a recuperar o segredo do banco de dados do Amazon RDS (contendo as credenciais de nome de usuário e senha) de. AWS Secrets Manager O Secrets Manager mantém os nomes de usuário e as senhas do banco de dados Amazon RDS confidenciais e pode alternar as senhas em intervalos regulares definidos. Para obter mais detalhes sobre a configuração de segurança e autenticação do RDS Proxy, consulte a documentação da AWS.

A fixação de conexão é uma métrica importante a ser monitorada tanto para o banco de dados Amazon RDS para PostgreSQL quanto para o endpoint do RDS Proxy. A fixação ocorre quando uma sessão do cliente depende das informações de estado de solicitações anteriores e, portanto, o banco de dados não permite que a sessão do cliente execute transações em diferentes conexões de banco de dados. A fixação pode ser causada pelo uso de comandos SET ou criando sequências, tabelas ou visualizações temporárias. Isso resulta em uma diminuição na multiplexação do proxy, ou seja, uma diminuição das conexões disponíveis para o cliente a partir do RDS Proxy. Para verificar as conexões fixas, monitore as seguintes CloudWatch métricas da Amazon:

• ClientConnections

• DatabaseConnections

• MaxDatabaseConnectionsAllowed

• DatabaseConnectionsCurrentlySessionPinned

Para obter mais informações, consulte o workshop Amazon RDS para PostgreSQL.