# Amazon RDS 的安全最佳实践 使用 AWS Identity and Access Management(IAM)账户可控制对 Amazon RDS API 操作(特别是创建、修改或删除 Amazon RDS 资源的操作)的访问权限。此类资源包括数据库实例、安全组和参数组。此外,使用 IAM 可控制执行常见管理任务的操作,例如备份和还原数据库实例。 + 为管理 Amazon RDS 资源的每个人(包括您自己)创建一个单独的用户。请勿使用 AWS 根凭证管理 Amazon RDS 资源。 + 授予每位用户执行其职责所需的最低权限集。 + 使用 IAM 组有效地管理适用于多个用户的权限。 + 定期轮换您的 IAM 凭证。 + 将 AWS Secrets Manager 配置为自动轮换 Amazon RDS 的密钥。有关更多信息,请参阅 *AWS Secrets Manager用户指南*中的[轮换 AWS Secrets Manager 密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。您也可以从 AWS Secrets Manager 中以编程方式检索凭证。有关更多信息,请参阅 *AWS Secrets Manager 用户指南* 中的[检索密钥值](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_retrieve-secret.html)。 有关 Amazon RDS 安全性的更多信息,请参阅 [Amazon RDS 中的安全性](UsingWithRDS.md)。有关 IAM 的更多信息,请参阅。[AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/Welcome.html)有关 IAM 最佳实践的信息,请参阅 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html)。 AWS Security Hub CSPM 使用安全控件来评估资源配置和安全标准,以帮助您遵守各种合规框架。有关使用 Security Hub CSPM 评估 RDS 资源的更多信息,请参阅《AWS Security Hub 用户指南》中的 [Amazon Relational Database Service 控件](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html)。 您可以监控 RDS 的使用情况,因为它与使用 Security Hub CSPM 的安全最佳实践有关。有关更多信息,请参阅[什么是 AWS Security Hub CSPM?](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。 使用 AWS 管理控制台、AWS CLI 或 RDS API 更改主用户的密码。如果使用另一个工具(如 SQL 客户端)来更改主用户密码,则可能会无意中取消用户的权限。