翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティのベストプラクティスとして、Amazon DocumentDB API オペレーション、特に Amazon DocumentDB リソースを作成、変更、削除するオペレーションへのアクセスを制御するには、 AWS Identity and Access Management (IAM) アカウントを使用する必要があります。 Amazon DocumentDB そのようなリソースには、クラスター、セキュリティグループ、およびパラメータグループなどがあります。また、IAMを使用して、クラスターのバックアップや復元など、一般的な管理操作を実行するアクションも制御します。IAM ロールを作成する際には、最小特権の原則を採択します。
-
ロールベースのアクセスコントロールを使用して、最小特権を適用します。
-
Amazon DocumentDB のリソースを管理する各ユーザーにそれぞれ IAM アカウントを割り当てます。Amazon DocumentDB リソースの管理に AWS アカウント ルートユーザーを使用しないでください。お客様を含めて全員に IAM ユーザーを作成します。
-
それぞれの職務の実行に最低限必要になる一連のアクセス許可を各 ユーザーに付与します。
-
IAM グループを使用して、複数のユーザーのアクセス許可を効果的に管理します。IAM の詳細については、IAM ユーザーガイドを参照してください。IAM のベストプラクティスの詳細については、「IAM のベストプラクティス」を参照してください。
-
IAM 認証情報のローテーションを定期的に行います。
-
Amazon DocumentDB の AWS シークレットを自動的にローテーションするように Secrets Manager を設定します。詳細については、AWS 「 Secrets Manager ユーザーガイド」の「Secrets Manager シークレットのローテーション」およびAmazon DocumentDB のシークレットのローテーション」を参照してください。 AWS
-
Transport Layer Security (TLS) と保管時の暗号化を使用してデータを暗号化します。
