Amazon Aurora 的安全最佳實務

使用 AWS Identity and Access Management (IAM) 帳戶來控制對 Amazon RDS API 操作的存取，尤其是建立、修改或刪除 Aurora 資源的操作。這類資源包含資料庫叢集、安全群組和參數群組。同時也請使用 IAM 控制執行常見管理動作的動作，例如備份和還原資料庫叢集。

• 為管理 Amazon Aurora 資源的每個人 (包括您自己) 建立個別使用者。請勿使用 AWS 根登入資料來管理 Amazon Aurora 資源。

• 授予每個使用者執行其職責所需最低程度的許可。

• 使用 IAM 群組來有效管理多個使用者的許可。

• 定期輪替您的 IAM 登入資料。

• 設定 AWS Secrets Manager 為自動輪替 Aurora 的密碼。如需詳細資訊，請參閱AWS Secrets Manager 使用指南中的旋轉 AWS Secrets Manager 密碼。您也可以 AWS Secrets Manager 透過程式設計方式擷取憑證。如需更多詳細資訊，請參閱 AWS Secrets Manager 使用者指南中的擷取密碼值。

如需 Amazon Aurora 安全性的詳細資訊，請參閱 Amazon Aurora 中的安全。如需關於 IAM 的詳細資訊，請參閱 AWS Identity and Access Management。如需 IAM 最佳實務的資訊，請參閱 IAM 最佳實務。

AWS Security Hub 使用安全控制來評估資源配置和安全標準，以幫助您遵守各種合規性框架。如需有關使用 Security Hub 評估 RDS 資源的詳細資訊，請參閱使用 AWS Security Hub 者指南中的 Amazon Relational Database Service 控制。

透過使用 Security Hub 監控您 RDS 的使用狀況，因為它關係到安全最佳實務。如需詳細資訊，請參閱什麼是 AWS Security Hub？ 。

使用 AWS Management Console AWS CLI、或 RDS API 來變更主要使用者的密碼。如果您使用其他工具 (如 SQL 用戶端) 來變更主要使用者的密碼，可能會導致系統意外撤銷使用者權限。

Amazon GuardDuty 是一種持續的安全監控服務，可分析和處理各種資料來源，包括 Amazon RDS 登入活動。它使用威脅情報摘要和機器學習來識別您 AWS 環境中未預期、可能未經授權、可疑的登入行為和惡意活動。

當 Amazon GuardDuty RDS Protection 偵測到可能可疑或異常的登入嘗試表示資料庫有威脅時， GuardDuty 會產生新的發現項目，其中包含有關可能遭到入侵的資料庫的詳細資料。如需更多詳細資訊，請參閱 使用 Amazon GuardDuty RDS 防護監控威脅。