Práticas recomendadas de segurança do Amazon RDS
Use contas do AWS Identity and Access Management (IAM) para controlar o acesso a operações da API do Amazon RDS, especialmente operações que criam, modificam ou excluem recursos do Amazon RDS. Esses recursos incluem clusters de instâncias, grupos de segurança e parâmetro. Além disso, use o IAM para controlar ações que executam ações administrativas comuns, como fazer backup e restaurar clusters de instâncias.
-
Crie um usuário individual para cada pessoa que gerencia recursos do Amazon RDS, incluindo você mesmo. Não use as credenciais raiz da AWS para gerenciar recursos do Amazon RDS.
-
Conceda a cada usuário o conjunto mínimo de permissões necessárias para realizar suas funções.
-
Use grupos do IAM para gerenciar efetivamente permissões para vários usuários.
-
Mude suas credenciais do IAM regularmente.
-
Configure o AWS Secrets Manager para alternar automaticamente os segredos para o Amazon RDS. Para ter mais informações, consulte Alternar os segredos do AWS Secrets Manager no Guia do usuário do AWS Secrets Manager. Também é possível recuperar a credencial do AWS Secrets Manager forma programática. Para ter mais informações, consulte Recuperar o valor do segredo no Guia do usuário do AWS Secrets Manager.
Para ter mais informações sobre a segurança do Amazon RDS, consulte Segurança no Amazon RDS. Para ter mais informações sobre o IAM, consulte AWS Identity and Access Management. Para obter informações sobre as práticas recomendadas do IAM, acesse Melhores práticas do IAM.
O AWS Security Hub utiliza controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir várias frameworks de conformidade. Para ter mais informações sobre como usar o Security Hub para avaliar os recursos do RDS, consulte Controles do Amazon Relational Database Service no Guia do usuário do AWS Security Hub.
É possível monitorar o uso do IAM em relação às práticas recomendadas de segurança com o Security Hub. Para ter mais informações, consulte O que é o AWS Security Hub?.
Use o AWS Management Console, a AWS CLI ou a API do RDS para alterar a senha do usuário mestre. Se você usar outra ferramenta, como um cliente SQL, para alterar a senha do usuário mestre, isso poderá resultar na revogação de privilégios ao usuário involuntariamente.