最佳实践

我们建议配置 Amazon RDS 代理，使用 TLS/SSL 等安全机制连接到 Amazon RDS 数据库。这样，RDS 代理可作为客户端应用程序和数据库之间的附加安全层。RDS 代理支持 TLS 协议版本 1.2。RDS 代理使用来自 AWS Certificate Manager (ACM) 的证书，这样无需更新代理连接即可轮换证书。

我们还建议对 RDS 代理使用基于 AWS Identity and Access Management (IAM) 的身份验证。在此配置中，您授权 RDS 代理终端节点从中检索 Amazon RDS 数据库密钥（包含用户名和密码证书） AWS Secrets Manager。Secrets Manager 将保管 Amazon RDS 数据库的用户名和密码，并按定义的间隔轮换密码。有关 RDS 代理的安全和身份验证设置的更多详细信息，请参阅 AWS documentation。

连接固定是 Amazon RDS for PostgreSQL 数据库和 RDS 代理端点监控的一个重要指标。当客户端会话依赖于先前请求的状态信息时，就会发生固定，因此数据库不允许客户端会话跨不同的数据库连接运行事务。固定可能是因为使用 SET 命令或创建临时序列、表或视图引起的。这会导致代理的多路复用减少，也就是说，客户端从 RDS 代理的可用连接减少。要检查固定连接，请监控以下 Amazon CloudWatch 指标：

• ClientConnections

• DatabaseConnections

• MaxDatabaseConnectionsAllowed

• DatabaseConnectionsCurrentlySessionPinned

有关更多信息，请参阅 Amazon RDS for PostgreSQL workshop。