Bonnes pratiques de sécurité pour Amazon Aurora

Utiliser AWS Identity and Access Management (IAM) comptes pour contrôler l'accès aux RDS API opérations Amazon, en particulier aux opérations qui créent, modifient ou suppriment des ressources Amazon Aurora. Les ressources de ce type incluent les clusters de base de données, les groupes de sécurité et les groupes de paramètres. Utilisez-le également IAM pour contrôler les actions qui exécutent des actions administratives courantes telles que la sauvegarde et la restauration de clusters d' de base de données.

Créez un utilisateur individuel pour chaque personne qui gère les ressources Amazon Aurora, y compris vous-même. N'utilisez pas AWS informations d'identification root pour gérer les ressources Amazon Aurora.
Accordez à chaque utilisateur un ensemble minimum d'autorisations requises pour exécuter ses tâches.
Utilisez IAM des groupes pour gérer efficacement les autorisations de plusieurs utilisateurs.
Procédez à une rotation régulière des informations d'identification IAM.
Configuration AWS Secrets Manager pour alterner automatiquement les secrets pour Amazon Aurora. Pour plus d'informations, voir Rotation de votre AWS Secrets Manager secrets dans le AWS Secrets Manager Guide de l'utilisateur. Vous pouvez également récupérer les informations d'identification auprès de AWS Secrets Manager programmatiquement. Pour plus d'informations, voir Extraction de la valeur secrète dans le AWS Secrets Manager Guide de l'utilisateur.

Pour plus d'informations sur la sécurité RDS d' Amazon Aurora, consultezSécurité dans Amazon Aurora. Pour plus d'informations surIAM, voir AWS Identity and Access Management. Pour plus d'informations sur IAM les meilleures pratiques, consultez la section IAMMeilleures pratiques.

AWS Security Hub utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à vous conformer aux différents cadres de conformité. Pour plus d'informations sur l'utilisation de Security Hub pour évaluer les RDS ressources, consultez les contrôles d'Amazon Relational Database Service dans le AWS Security Hub Guide de l'utilisateur.

Vous pouvez surveiller votre utilisation RDS en ce qui concerne les meilleures pratiques de sécurité en utilisant Security Hub. Pour plus d'informations, voir Qu'est-ce que AWS Security Hub?.

Utilisez la commande AWS Management Console, le AWS CLI, ou RDS API pour modifier le mot de passe de votre utilisateur principal. Si vous utilisez un autre outil, tel qu'un SQL client, pour modifier le mot de passe de l'utilisateur principal, les privilèges de l'utilisateur peuvent être révoqués par inadvertance.

Amazon GuardDuty est un service de surveillance continue de la sécurité qui analyse et traite diverses sources de données, y compris les activités de RDS connexion à Amazon. Il utilise des flux de renseignements sur les menaces et l'apprentissage automatique pour identifier les comportements de connexion inattendus, potentiellement non autorisés et suspects ainsi que les activités malveillantes au sein de votre AWS environnement.

Lorsqu'Amazon GuardDuty RDS Protection détecte une tentative de connexion potentiellement suspecte ou anormale indiquant une menace pour votre base de données, GuardDuty génère un nouveau résultat contenant des informations sur la base de données potentiellement compromise. Pour de plus amples informations, veuillez consulter Surveillance des menaces avec Amazon GuardDuty RDS Protection pour Amazon Aurora.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Points de terminaison d'un VPC (AWS PrivateLink)

Contrôle d'accès par groupe de sécurité