本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為了安全最佳實務,您必須使用 AWS Identity and Access Management (IAM) 帳戶來控制對 Amazon DocumentDB API 操作的存取,尤其是建立、修改或刪除 Amazon DocumentDB 資源的操作。這類資源包含叢集、安全群組和參數群組。您還必須使用 IAM 來控制執行常見管理動作的動作,例如備份還原叢集。建立 IAM 角色時,請採用最低權限原則。
-
使用角色類型存取控制強制執行最低權限。
-
將個別 IAM 帳戶指派給管理 Amazon DocumentDB 資源的每個人。請勿使用 AWS 帳戶 根使用者來管理 Amazon DocumentDB 資源。為每個人 (包含您) 建立 IAM 使用者。
-
授予每個 使用者執行其職責所需的最低許可集。
-
使用 IAM 群組來有效管理多個使用者的許可。如需 IAM 的詳細資訊,請參閱 IAM 使用者指南。如需 IAM 最佳實務的相關資訊,請參閱 IAM 最佳實務。
-
定期輪替您的 IAM 登入資料。
-
設定 AWS Secrets Manager 自動輪換 Amazon DocumentDB 的秘密。如需詳細資訊,請參閱《AWS Secrets Manager 使用者指南》中的輪換 Secrets Manager Secrets 和輪換 Amazon DocumentDB 的 Secrets。 AWS
-
使用 Transport Layer Security (TLS) 和靜態加密來加密您的資料。
