Amazon RDS의 보안 모범 사례
AWS Identity and Access Management(IAM) 계정을 사용해 Amazon RDS API 작업, 특히 Amazon RDS 리소스를 생성하거나, 수정하거나, 삭제하는 작업에 대한 액세스를 제어합니다. 이러한 리소스 중에는 DB 인스턴스, 보안 그룹 및 파라미터 그룹이 있습니다. 또한 IAM 을 사용해 DB 인스턴스 백업 및 복구 같은 공통 관리 작업을 수행하는 작업을 제어합니다.
-
본인을 포함하여 Amazon RDS 리소스를 관리하는 각 개인에 대해 개별 사용자를 생성합니다. AWS 루트 자격 증명을 사용하여 Amazon RDS 리소스를 관리하지 마세요.
-
각 사용자에게 각자의 임무를 수행하는 데 필요한 최소 권한 집합을 부여합니다.
-
IAM 그룹을 사용해 여러 사용자에 대한 권한을 효과적으로 관리합니다.
-
IAM 자격 증명을 정기적으로 순환합니다.
-
Amazon RDS 비밀을 자동으로 교체할 수 있도록 AWS Secrets Manager를 구성합니다. 자세한 내용은 AWS Secrets Manager 사용 설명서에서 AWS Secrets Manager 비밀 교체를 참조하세요. AWS Secrets Manager 프로그래밍 방식에서 자격 증명을 검색할 수도 있습니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 비밀 값 검색을 참조하세요.
Amazon RDS 보안에 대한 자세한 내용은 Amazon RDS의 보안 섹션을 참조하세요. IAM에 대한 자세한 내용은 AWS Identity and Access Management 단원을 참조하십시오. IAM 모범 사례에 대한 자세한 내용은 IAM 모범 사례 단원을 참조하십시오.
AWS Security Hub는 보안 제어를 사용하여 리소스 구성 및 보안 표준을 평가하여 다양한 규정 준수 프레임워크를 준수할 수 있도록 지원합니다. Security Hub를 사용하여 RDS 리소스를 평가하는 방법에 대한 자세한 내용은 AWS Security Hub 사용 설명서의 Amazon Relational Database Service 제어를 참조하세요.
Security Hub를 사용하여 보안 모범 사례와 관련된 RDS의 사용량을 모니터링할 수 있습니다. 자세한 내용은 AWS Security Hub란 무엇인가요?를 참조하세요.
AWS Management Console, AWS CLI 또는 RDS API를 사용하여 마스터 사용자의 암호를 변경합니다. SQL 클라이언트 등과 같은 다른 도구를 사용하여 마스터 사용자 암호를 변경할 경우 의도치 않게 사용자에 대해 권한이 취소될 수 있습니다.