本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon DocumentDB 的安全最佳实践
<a name="security_best_practices"></a>

为了获得最佳安全实践，您必须使用 AWS Identity and Access Management (IAM) 账户来控制对亚马逊 DocumentDB API 操作的访问权限，尤其是创建、修改或删除亚马逊 DocumentDB 资源的操作。此类资源包括集群、安全组和参数组。此外，您还必须使用 IAM 来控制执行常见管理任务的操作，例如备份和还原集群。创建 IAM 角色时，请采用最小权限原则。
+ 使用[基于角色的访问控制](role_based_access_control.md)强制执行最低权限。
+ 为每个管理 Amazon DocumentDB 资源的人员分配个人 IAM 账户。请勿使用 AWS 账户 根用户来管理 Amazon DocumentDB 资源。为每个人（包括您自己）创建一个 IAM 用户。
+ 授予每位用户履行其职责所需的最小权限集。
+ 使用 IAM 组有效地管理适用于多个用户的权限。有关 IAM 的更多信息，请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/Welcome.html)。有关 IAM 最佳实践的信息，请参阅 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html)。
+ 定期轮换 IAM 凭证。
+ 将 S AWS ecrets Manager 配置为自动轮换 Amazon DocumentDB 的密钥。有关更多信息，请参阅 S [AWS ecrets Manager 用户指南中的轮换您的 Sec](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) *rets Manager [密钥和轮换亚马逊 DocumentDB](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets-documentdb.html) 的AWS 密钥*。
+ 使用传输层安全性协议（TLS）和静态加密来加密您的数据。