Prácticas recomendadas de seguridad para Amazon Aurora
Utilice cuentas de AWS Identity and Access Management (IAM) para controlar el acceso a las operaciones de la API de Amazon RDS, especialmente operaciones que crean, modifican o eliminan recursos de Amazon Aurora. Dichos recursos incluyen clústeres de base de datos, grupos de seguridad y grupos de parámetros. Utilice también IAM para controlar acciones que realizan acciones administrativas comunes como copias de seguridad y restauración de clústeres de base de datos.
-
Cree un usuario individual para cada persona que administre recursos de Amazon Aurora, incluido usted mismo. No utilice las credenciales raíz de AWS para administrar los recursos de Amazon Aurora.
-
Asigne a cada usuario el conjunto mínimo de permisos requerido para realizar sus tareas.
-
Use los grupos de IAM para administrar con eficacia los permisos para varios usuarios.
-
Rote con regularidad sus credenciales de IAM.
-
Configure AWS Secrets Manager para que rote automáticamente el secreto para Amazon Aurora. Para obtener más información, consulte Rotación de sus secretos de AWS Secrets Manager en la guía del usuario de AWS Secrets Manager. También puede recuperar mediante programación las credenciales desde AWS Secrets Manager. Para obtener más información, consulte Recuperar el valor secreto en la guía del usuario de AWS Secrets Manager.
Para obtener más información sobre la seguridad de Amazon Aurora, consulte Seguridad en Amazon Aurora. Para obtener más información acerca de IAM, consulte AWS Identity and Access Management. Para obtener información acerca de las prácticas recomendadas de IAM, consulte Prácticas recomendadas de IAM.
AWS Security Hub utiliza controles de seguridad para evaluar las configuraciones de los recursos y los estándares de seguridad para ayudarlo a cumplir varios marcos de conformidad. Para obtener más información sobre el uso de Security Hub para evaluar los recursos de Lambda, consulte Amazon Relational Database Service controls (Controles de Amazon Relational Database Service) en la Guía del usuario de AWS Security Hub.
Puede supervisar el uso de RDS en relación con las prácticas recomendadas de seguridad con Security Hub. Para obtener más información, consulte ¿Qué es AWS Security Hub?.
Utilice la AWS Management Console, la AWS CLI o la API de RDS para cambiar la contraseña para el usuario maestro. Si usa otra herramienta, como un cliente de SQL, para cambiar la contraseña del usuario maestro, podría provocar involuntariamente la revocación de privilegios para el usuario.
Amazon GuardDuty es un servicio de monitorización de la seguridad continuo que analiza y procesa una variedad de orígenes de datos, incluida la actividad de inicio de sesión de Amazon RDS. Utiliza fuentes de información de amenazas y machine learning para identificar la actividad inesperada y potencialmente no autorizada, comportamientos sospechosos de inicio de sesión, así como la actividad malintencionada en su entorno de AWS.
Cuando la protección de RDS de Amazon GuardDuty detecta un intento de inicio de sesión sospechoso o anómalo que implica una amenaza para su base de datos, GuardDuty genera un nuevo resultado con detalles de la base de datos que está potencialmente afectada. Para obtener más información, consulte Supervisión de amenazas con Amazon GuardDuty RDS Protection.