本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon DocumentDB 的安全最佳實務
<a name="security_best_practices"></a>

為了安全最佳實務，您必須使用 AWS Identity and Access Management (IAM) 帳戶來控制對 Amazon DocumentDB API 操作的存取，尤其是建立、修改或刪除 Amazon DocumentDB 資源的操作。這類資源包含叢集、安全群組和參數群組。您還必須使用 IAM 來控制執行常見管理動作的動作，例如備份還原叢集。建立 IAM 角色時，請採用最低權限原則。
+ 使用[角色類型存取控制](role_based_access_control.md)強制執行最低權限。
+ 將個別 IAM 帳戶指派給管理 Amazon DocumentDB 資源的每個人。請勿使用 AWS 帳戶 根使用者來管理 Amazon DocumentDB 資源。為每個人 (包含您) 建立 IAM 使用者。
+ 授予每個 使用者執行其職責所需的最低許可集。
+ 使用 IAM 群組來有效管理多個使用者的許可。如需 IAM 的詳細資訊，請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/Welcome.html)。如需 IAM 最佳實務的相關資訊，請參閱 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html)。
+ 定期輪替您的 IAM 登入資料。
+ 設定 AWS Secrets Manager 自動輪換 Amazon DocumentDB 的秘密。如需詳細資訊，請參閱《[AWS Secrets Manager 使用者指南》中的輪換 Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) Manager [ Secrets 和輪換 Amazon DocumentDB 的](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets-documentdb.html) Secrets。 *AWS *
+ 使用 Transport Layer Security (TLS) 和靜態加密來加密您的資料。