Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Bonnes pratiques de sécurité pour Aurora DSQL
Aurora DSQL fournit différentes fonctionnalités de sécurité à prendre en compte lorsque vous développez et implémentez vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
**Topics**
+ [
# Bonnes pratiques de sécurité de détection pour Aurora DSQL
](best-practices-security-detective.md)
+ [
# Bonnes pratiques de sécurité préventive pour Aurora DSQL
](best-practices-security-preventative.md)
# Bonnes pratiques de sécurité de détection pour Aurora DSQL
Outre les méthodes suivantes pour utiliser Aurora DSQL en toute sécurité, consultez [Security](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) in AWS Well-Architected Tool pour découvrir comment les technologies cloud améliorent votre sécurité.
** CloudWatch Alarmes Amazon**
À l'aide des CloudWatch alarmes Amazon, vous observez une seule métrique sur une période que vous spécifiez. Si la métrique dépasse un seuil donné, une notification est envoyée à une rubrique ou AWS Auto Scaling à une politique Amazon SNS. CloudWatch les alarmes n'appellent pas d'actions car elles se trouvent dans un état particulier. L’état doit avoir changé et avoir été conservé pendant un nombre de périodes spécifié.
**Étiquetage de vos ressources Aurora DSQL pour l’identification et l’automatisation**
Vous pouvez attribuer des métadonnées à vos AWS ressources sous forme de balises. Chaque étiquette est un libellé composé d’une clé définie par le client et d’une valeur facultative qui peut faciliter la gestion, la recherche et le filtrage de ressources.
L’étiquetage permet l’implémentation de contrôles groupés. Bien qu’il n’existe pas de types intrinsèques d’étiquettes, celles-ci vous permettent de catégoriser des ressources par objectif, par propriétaire, par environnement ou selon d’autres critères. Voici quelques exemples :
+ Sécurité : utilisée pour déterminer des exigences telles que le chiffrement.
+ Confidentialité – Identifiant pour le niveau spécifique de confidentialité des données qu’une ressource prend en charge.
+ Environnement : utilisé pour différencier les infrastructures de développement, de test et de production.
Vous pouvez attribuer des métadonnées à vos AWS ressources sous forme de balises. Chaque étiquette est un libellé composé d’une clé définie par le client et d’une valeur facultative qui peut faciliter la gestion, la recherche et le filtrage de ressources.
L’étiquetage permet l’implémentation de contrôles groupés. Bien qu’il n’existe pas de types de balises inhérents, elles vous permettent de classer les ressources par objectif, par propriétaire, par environnement ou selon d’autres critères. Voici quelques exemples.
+ Sécurité : utilisée pour déterminer des exigences telles que le chiffrement.
+ Confidentialité : identifiant pour le niveau spécifique de confidentialité des données qu’une ressource prend en charge.
+ Environnement : utilisé pour différencier les infrastructures de développement, de test et de production.
Pour plus d'informations, consultez la section [Meilleures pratiques en matière de balisage AWS des ressources](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html).
# Bonnes pratiques de sécurité préventive pour Aurora DSQL
Outre les méthodes suivantes pour utiliser Aurora DSQL en toute sécurité, consultez [Security](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) in AWS Well-Architected Tool pour découvrir comment les technologies cloud améliorent votre sécurité.
**Utilisation des rôles IAM pour authentifier l’accès à Aurora DSQL.**
Les utilisateurs, applications et autres personnes Services AWS qui accèdent à Aurora DSQL doivent inclure des AWS informations d'identification valides dans AWS l'API et les AWS CLI demandes. Vous ne devez pas stocker les AWS informations d'identification directement dans l'application ou dans les instances EC2. Il s’agit d’informations d’identification à long terme qui ne font pas l’objet d’une rotation automatique. La compromission de ces informations d’identification a un impact commercial significatif. Un rôle IAM vous permet d'obtenir des clés d'accès temporaires que vous pouvez utiliser pour accéder Services AWS aux ressources.
Pour de plus amples informations, veuillez consulter [Authentification et autorisation pour Aurora DSQL](authentication-authorization.md).
**Utilisation des politiques IAM pour l’autorisation de base Aurora DSQL.**
Lorsque vous accordez des autorisations, vous décidez qui les reçoit, les opérations d’API Aurora DSQL auxquelles elles s’appliquent, et les actions spécifiques que vous souhaitez autoriser sur ces ressources. L’implémentation d’un privilège minimum est la clé de la réduction des risques de sécurité et de l’impact potentiel d’erreurs ou d’actes de malveillance.
Associez des politiques d’autorisation aux rôles IAM et accordez des autorisations pour exécuter des opérations sur des ressources Aurora DSQL. Des [limites d’autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) sont également disponibles, ce qui vous permet de définir les autorisations maximales qu’une politique basée sur l’identité peut accorder à une entité IAM.
À l'instar des [meilleures pratiques relatives à l'utilisateur root Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html), n'utilisez pas le `admin` rôle dans Aurora DSQL pour effectuer des opérations quotidiennes. Nous vous recommandons plutôt de créer des rôles de base de données personnalisés pour gérer votre cluster et vous y connecter. Pour plus d’informations, consultez [Accès à Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) et [Comprendre l’authentification et l’autorisation pour Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html).
**Utilisation de `verify-full` dans les environnements de production.**
Ce paramètre vérifie que le certificat du serveur est signé par une autorité de certification fiable et que le nom d’hôte du serveur correspond au certificat.
**Mise à jour de votre client PostgreSQL**
Mettez régulièrement à jour votre client PostgreSQL vers la dernière version pour bénéficier des améliorations de sécurité. Nous vous recommandons d’utiliser la version 17 de PostgreSQL.