Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bewährte Methoden für die Aurora DSQL-Sicherheit
Aurora DSQL enthält eine Reihe von Sicherheitsfeatures, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
**Topics**
+ [Bewährte detektivische Sicherheitsmethoden für Aurora DSQL](best-practices-security-detective.md)
+ [Bewährte Methoden für vorbeugende Sicherheitsmaßnahmen für Aurora DSQL](best-practices-security-preventative.md)
# Bewährte detektivische Sicherheitsmethoden für Aurora DSQL
Zusätzlich zu den folgenden Möglichkeiten zur sicheren Verwendung von Aurora DSQL finden Sie unter [Sicherheit](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) in AWS Well-Architected Tool mehr darüber, wie Cloud-Technologien Ihre Sicherheit verbessern.
** CloudWatch Amazon-Alarme**
Mithilfe von CloudWatch Amazon-Alarmen beobachten Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, wird eine Benachrichtigung an ein Amazon SNS SNS-Thema oder eine AWS Auto Scaling Richtlinie gesendet. CloudWatch Alarme lösen keine Aktionen aus, da sie sich in einem bestimmten Status befinden. Der Status muss sich stattdessen geändert haben und für eine festgelegte Anzahl an Zeiträumen aufrechterhalten worden sein.
**Markieren Sie Ihre Aurora DSQL-Ressourcen zur Identifizierung und Automatisierung**
Sie können Ihren AWS Ressourcen Metadaten in Form von Tags zuweisen. Jedes Tag ist eine einfache Bezeichnung, die aus einem benutzerdefinierten Schlüssel und einem optionalen Wert besteht, der das Verwalten, Suchen und Filtern von Ressourcen erleichtern kann.
Tagging ermöglicht die Implementierung gruppierter Steuerelemente. Obwohl es keine inhärenten Typen von Tags gibt, können Sie Ressourcen nach Zweck, Besitzer, Umgebung oder anderen Kriterien kategorisieren. Im Folgenden sind einige Beispiele aufgeführt:
+ Sicherheit – Wird verwendet, um Anforderungen wie Verschlüsselung zu bestimmen.
+ Vertraulichkeit – Eine Kennung für die spezifische Datenvertraulichkeitsebene, die eine Ressource unterstützt
+ Umgebung – Wird verwendet, um zwischen Entwicklungs-, Test- und Produktionsinfrastruktur zu unterscheiden.
Sie können Ihren AWS Ressourcen Metadaten in Form von Tags zuweisen. Jedes Tag ist eine einfache Bezeichnung, die aus einem benutzerdefinierten Schlüssel und einem optionalen Wert besteht, der das Verwalten, Suchen und Filtern von Ressourcen erleichtern kann.
Tagging ermöglicht die Implementierung gruppierter Steuerelemente. Obwohl es keine inhärenten Typen von Tags gibt, können Sie -Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien kategorisieren. Im Folgenden sind einige Beispiele aufgeführt:
+ Sicherheit – Wird verwendet, um Anforderungen wie Verschlüsselung zu bestimmen.
+ Vertraulichkeit – Eine Kennung für die spezifische Datenvertraulichkeitsebene, die eine Ressource unterstützt
+ Umgebung – Wird verwendet, um zwischen Entwicklungs-, Test- und Produktionsinfrastruktur zu unterscheiden.
Weitere Informationen finden Sie unter [Bewährte Methoden für das Markieren von AWS Ressourcen](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html).
# Bewährte Methoden für vorbeugende Sicherheitsmaßnahmen für Aurora DSQL
Zusätzlich zu den folgenden Möglichkeiten zur sicheren Verwendung von Aurora DSQL finden Sie unter [Sicherheit](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) in AWS Well-Architected Tool mehr darüber, wie Cloud-Technologien Ihre Sicherheit verbessern.
**Verwenden von IAM-Rollen zum Authentifizieren des Zugriffs auf Aurora DSQL**
Benutzer, Anwendungen und andere, AWS-Services die auf Aurora DSQL zugreifen, müssen gültige AWS Anmeldeinformationen in AWS API und AWS CLI Anfragen angeben. Sie sollten AWS Anmeldeinformationen nicht direkt in der Anwendung oder in den EC2-Instances speichern. Es handelt sich hierbei um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden. Wenn diese Anmeldeinformationen kompromittiert werden, kann dies erhebliche geschäftliche Auswirkungen nach sich ziehen. Mit einer IAM-Rolle können Sie temporäre Zugriffsschlüssel abrufen, mit denen Sie auf Ressourcen zugreifen AWS-Services können.
Weitere Informationen finden Sie unter [Authentifizierung und Autorisierung für Aurora DSQL](authentication-authorization.md).
**Verwenden von IAM-Richtlinien für die Aurora DSQL-Basisautorisierung**
Beim Erteilen von Berechtigungen entscheiden Sie, wer sie erhält, für welche Aurora DSQL-API-Operationen Berechtigungen erteilt werden und welche spezifischen Aktionen Sie für diese Ressourcen zulassen möchten. Die Implementierung der geringsten Rechte ist der Schlüssel zur Verringerung des Sicherheitsrisikos und der Auswirkungen, die sich aus Fehlern oder böswilligen Absichten ergeben können.
Fügen Sie Berechtigungsrichtlinien zu IAM-Rollen hinzu und erteilen Sie Berechtigungen zur Ausführung von Operationen auf Aurora DSQL-Ressourcen. Weiterhin sind [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) verfügbar, mit denen Sie die maximalen Berechtigungen festlegen, die eine identitätsbasierte Richtlinie einer IAM-Entität gewähren kann.
Ähnlich wie bei den [bewährten Methoden für Root-Benutzer AWS-Konto sollten Sie](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) die `admin` Rolle in Aurora DSQL nicht für alltägliche Operationen verwenden. Stattdessen empfehlen wir, benutzerdefinierte Datenbankrollen zu erstellen, um Ihren Cluster zu verwalten und eine Verbindung herzustellen. Weitere Informationen finden Sie unter [Zugreifen auf Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) und [Grundlegendes zur Authentifizierung und Autorisierung für Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html).
**Einsatz von `verify-full` in Produktionsumgebungen**
Diese Einstellung überprüft, ob das Serverzertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde und ob der Server-Hostname mit dem Zertifikat übereinstimmt.
**Aktualisieren Ihres PostgreSQL-Clients**
Aktualisieren Sie Ihren PostgreSQL-Client regelmäßig auf die neueste Version, um von Sicherheitsverbesserungen zu profitieren. Wir empfehlen die Verwendung von PostgreSQL Version 17.