本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon RDS 的安全最佳實務 使用 AWS Identity and Access Management (IAM) 帳戶來控制對 Amazon RDS API 操作的存取,尤其是建立、修改或刪除 Amazon RDS 資源的操作。這類資源包含資料庫執行個體、安全群組和參數群組。同時也請使用 IAM 控制執行常見管理動作的動作,例如備份和還原資料庫執行個體。 + 為管理 Amazon RDS 資源的每個人 (包括您自己) 建立個別使用者。請勿使用 AWS 根登入資料來管理 Amazon RDS 資源。 + 授予每個使用者執行其職責所需最低程度的許可。 + 使用 IAM 群組來有效管理多個使用者的許可。 + 定期輪替您的 IAM 登入資料。 + 設定 AWS Secrets Manager 自動輪換 Amazon RDS 的秘密。如需更多詳細資訊,請參閱 *AWS Secrets Manager 使用者指南*中的[輪換 AWS Secrets Manager 密碼](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html)。您也可以透過 AWS Secrets Manager 程式設計方式從 擷取登入資料。如需更多詳細資訊,請參閱 *AWS Secrets Manager 使用者指南*中的[擷取密碼值](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_retrieve-secret.html)。 如需 Amazon RDS 安全性的詳細資訊,請參閱[Amazon RDS 的安全性](UsingWithRDS.md)。如需關於 IAM 的詳細資訊,請參閱 [AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/Welcome.html)。如需 IAM 最佳實務的資訊,請參閱 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html)。 AWS Security Hub CSPM 使用安全控制來評估資源組態和安全標準,以協助您遵守各種合規架構。如需使用 Security Hub CSPM 評估 RDS 資源的詳細資訊,請參閱 AWS Security Hub 《 使用者指南》中的 [Amazon Relational Database Service 控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/rds-controls.html)。 您可以使用 Security Hub CSPM 來監控 RDS 的使用,因為它與安全最佳實務相關。如需詳細資訊,請參閱[什麼是 AWS Security Hub CSPM?](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)。 使用 AWS CLI、 AWS 管理主控台或 RDS API 來變更主要使用者的密碼。如果您使用其他工具 (如 SQL 用戶端) 來變更主要使用者的密碼,可能會導致系統意外撤銷使用者權限。