Amazon Aurora のセキュリティのベストプラクティス
AWS Identity and Access Management (IAM) アカウントを使用して、Amazon RDS API オペレーション、特に Amazon Aurora リソースの作成、変更、削除を行うオペレーションへのアクセスを制御します。そのようなリソースには、DB クラスター、セキュリティグループ、およびパラメータグループなどがあります。また、IAM を使用して、DB クラスターのバックアップや復元など、一般的な管理アクションを実行するアクションも制御します。
-
Amazon Aurora リソースを管理するユーザー (本人を含む) ごとに個別のユーザーを作成します。Amazon Aurora リソースの管理には、AWS ルート認証情報を使用しないでください。
-
それぞれの職務の実行に最低限必要になる一連のアクセス許可を各ユーザーに付与します。
-
IAM グループを使用して、複数のユーザーのアクセス許可を効果的に管理します。
-
IAM 認証情報のローテーションを定期的に行います。
-
Amazon Aurora のシークレットが自動的にローテーションされるように、AWS Secrets Manager を設定します。詳細については、AWS Secrets Manager ユーザーガイドの「AWS Secrets Manager シークレットのローテーション」を参照してください。認証情報は、AWS Secrets Manager プログラムから取得することもできます。詳細については、AWS Secrets Manager ユーザーガイドの「シークレット値の取得」を参照してください。
Amazon Aurora でのセキュリティの詳細については、「Amazon Aurora でのセキュリティ」を参照してください。IAM の詳細については、「AWS Identity and Access Management」を参照してください。IAM のベストプラクティスについては、「IAM のベストプラクティス」を参照してください。
AWS Security Hub は、セキュリティコントロールを使用してリソース設定とセキュリティ標準を評価し、お客様がさまざまなコンプライアンスフレームワークに準拠できるようサポートします。Security Hub を使用して RDS リソースを評価する方法の詳細については、「AWS Security Hub ユーザーガイド」の「Amazon リレーショナルデータベースサービスコントロール」を参照してください。
Security Hub を使用して、セキュリティのベストプラクティスに関連する RDS の使用状況をモニタリングできます。詳細については、「What is AWS Security Hub?」を参照してください。
AWS Management Console、AWS CLI、RDS API を使用して、マスターユーザーのパスワードを変更します。SQL クライアントなどの別のツールを使用する場合、マスターユーザーのパスワードを変更すると、ユーザーの権限が意図せずに取り消される可能性があります。
Amazon GuardDuty は、Amazon RDS ログインアクティビティなど、さまざまなデータソースを分析および処理する継続的セキュリティモニタリングサービスです。脅威インテリジェンスフィードと機械学習を使用して、AWS 環境内の予期しない、不正の可能性がある、不審なログイン動作や、悪意のあるアクティビティを特定します。
Amazon GuardDuty RDS Protection がデータベースへの脅威を示す潜在的に疑わしい試行や異常なログイン試行を検出すると、GuardDuty は新しい検出結果を生成し、侵害の可能性があるデータベースに関する詳細を示します。詳細については、「Amazon GuardDuty RDS Protection による脅威のモニタリング」を参照してください。