Práticas recomendadas de segurança do Amazon Aurora
Use contas do AWS Identity and Access Management (IAM) para controlar o acesso a operações da API do Amazon RDS, especialmente operações que criam, modificam ou excluem recursos do Amazon Aurora. Esses recursos incluem clusters de de banco de dados, grupos de segurança e parâmetro. Além disso, use o IAM para controlar ações que executam ações administrativas comuns, como fazer backup e restaurar clusters de de banco de dados.
-
Crie um usuário individual para cada pessoa que gerencia recursos do Amazon Aurora, incluindo você mesmo. Não use as credenciais raiz da AWS para gerenciar recursos do Amazon Aurora.
-
Conceda a cada usuário o conjunto mínimo de permissões necessárias para realizar suas funções.
-
Use grupos do IAM para gerenciar efetivamente permissões para vários usuários.
-
Mude suas credenciais do IAM regularmente.
-
Configure o AWS Secrets Manager para alternar automaticamente os segredos para o Amazon Aurora. Para ter mais informações, consulte Alternar os segredos do AWS Secrets Manager no Guia do usuário do AWS Secrets Manager. Também é possível recuperar a credencial do AWS Secrets Manager forma programática. Para ter mais informações, consulte Recuperar o valor do segredo no Guia do usuário do AWS Secrets Manager.
Para ter mais informações sobre a segurança do Amazon Aurora, consulte Segurança no Amazon Aurora. Para ter mais informações sobre o IAM, consulte AWS Identity and Access Management. Para obter informações sobre as práticas recomendadas do IAM, acesse Melhores práticas do IAM.
O AWS Security Hub utiliza controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir várias frameworks de conformidade. Para ter mais informações sobre como usar o Security Hub para avaliar os recursos do RDS, consulte Controles do Amazon Relational Database Service no Guia do usuário do AWS Security Hub.
É possível monitorar o uso do IAM em relação às práticas recomendadas de segurança com o Security Hub. Para ter mais informações, consulte O que é o AWS Security Hub?.
Use o AWS Management Console, a AWS CLI ou a API do RDS para alterar a senha do usuário mestre. Se você usar outra ferramenta, como um cliente SQL, para alterar a senha do usuário mestre, isso poderá resultar na revogação de privilégios ao usuário involuntariamente.
O Amazon GuardDuty é um serviço contínuo de monitoramento de segurança que analisa e processa uma série de fontes de dados, incluindo a atividade de login do Amazon RDS. Ele usa feeds de inteligência sobre ameaças e machine learning para identificar atividades inesperadas e possivelmente não autorizadas e mal-intencionadas no ambiente da AWS.
Quando a Proteção RDS do Amazon GuardDuty detecta uma ameaça em potencial ou uma tentativa de login anômala que indica uma ameaça ao banco de dados, o GuardDuty gera uma nova descoberta com detalhes sobre o banco de dados possivelmente comprometido. Para ter mais informações, consulte Monitorar ameaças com o Amazon GuardDuty RDS Protection.