# Amazon Aurora 的安全最佳实践 使用 AWS Identity and Access Management(IAM)账户可控制对 Amazon RDS API 操作(特别是创建、修改或删除 Amazon Aurora 资源的操作)的访问权限。此类资源包括数据库集群、安全组和参数组。此外,使用 IAM 可控制执行常见管理任务的操作,例如备份和还原数据库集群。 + 为管理 Amazon Aurora 资源的每个人(包括您自己)创建一个单独的用户。请勿使用 AWS 根凭证管理 Amazon Aurora 资源。 + 授予每位用户执行其职责所需的最低权限集。 + 使用 IAM 组有效地管理适用于多个用户的权限。 + 定期轮换您的 IAM 凭证。 + 将 AWS Secrets Manager 配置为自动轮换 Amazon Aurora 的密钥。有关更多信息,请参阅 *AWS Secrets Manager用户指南*中的[轮换 AWS Secrets Manager 密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。您也可以从 AWS Secrets Manager 中以编程方式检索凭证。有关更多信息,请参阅 *AWS Secrets Manager 用户指南* 中的[检索密钥值](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_retrieve-secret.html)。 有关 Amazon Aurora 安全性的更多信息,请参阅 [Amazon Aurora 中的安全性](UsingWithRDS.md)。有关 IAM 的更多信息,请参阅。[AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/Welcome.html)有关 IAM 最佳实践的信息,请参阅 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html)。 AWS Security Hub CSPM 使用安全控件来评估资源配置和安全标准,以帮助您遵守各种合规框架。有关使用 Security Hub CSPM 评估 RDS 资源的更多信息,请参阅《AWS Security Hub 用户指南》中的 [Amazon Relational Database Service 控件](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html)。 您可以监控 RDS 的使用情况,因为它与使用 Security Hub CSPM 的安全最佳实践有关。有关更多信息,请参阅[什么是 AWS Security Hub CSPM?](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。 使用 AWS 管理控制台、AWS CLI 或 RDS API 更改主用户的密码。如果使用另一个工具(如 SQL 客户端)来更改主用户密码,则可能会无意中取消用户的权限。 Amazon GuardDuty 是一项持续的安全监控服务,可以分析和处理各种数据来源,包括 Amazon RDS 登录活动。它使用威胁情报源和机器学习来确定您的 AWS 环境中意外、可能未经授权、可疑的登录行为以及恶意活动。 当 Amazon GuardDuty RDS 保护检测到表示您的数据库中存在威胁的潜在可疑或异常登录尝试时,GuardDuty 会生成新的调查发现,其中包含有关可能被盗用的数据库的详细信息。有关更多信息,请参阅 [使用适用于 Amazon Aurora 的 Amazon GuardDuty RDS 保护功能监控威胁](guard-duty-rds-protection.md)。