# Aurora DSQL の予防的セキュリティのベストプラクティス Aurora DSQL を安全に使用する以下の方法に加えて、クラウドテクノロジーがセキュリティをどのように向上させるかについては、AWS Well-Architected Tool の「[セキュリティ](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)」を参照してください。 **IAM ロールを使用した Aurora DSQL へのアクセス認証** Aurora DSQL にアクセスするユーザー、アプリケーション、およびその他の AWS のサービスは、AWS API および AWS CLI リクエストに有効な AWS 認証情報を含める必要があります。アプリケーションまたは EC2 インスタンスに AWS 認証情報を直接保存しないでください。これらは、自動的にローテーションされない長期的な認証情報です。これらの認証情報が漏えいした場合、ビジネスに重大な影響を与えます。IAM ロールにより、AWS のサービスおよびリソースへのアクセスに使用できる一時的なアクセスキーを取得することができます。 詳細については、「[Aurora DSQL の認証および認可](authentication-authorization.md)」を参照してください。 **Aurora DSQL ベース認可に IAM ポリシーを使用する** 許可を付与する場合、許可を取得するユーザー、取得する許可の対象となる Aurora DSQL API オペレーション、およびそれらのリソースに対して許可される特定のアクションを決定します。最小限の特権の実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での鍵となります。 アクセス許可ポリシーを IAM ロールにアタッチし、Aurora DSQL リソースでオペレーションを実行するアクセス許可を付与します。また、[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)も利用できます。これにより、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス許可の上限を設定できます。 「[AWS アカウントのルートユーザーのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)」と同様に、Aurora DSQL の `admin` ロールを使用して日常的なオペレーションを実行しないでください。代わりに、クラスターを管理して接続するためのカスタムデータベースロールを作成することをお勧めします。詳細については、「[Accessing Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html)」および「[Understanding authentication and authorization for Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html)」を参照してください。 **実稼働環境で `verify-full` を使用する** この設定では、サーバー証明書が信頼できる認証局によって署名されていること、およびサーバーのホスト名が証明書と一致することを確認します。 **PostgreSQL クライアントを更新する** セキュリティ強化の恩恵を受けるために、PostgreSQL クライアントを定期的に最新バージョンに更新してください。PostgreSQL バージョン 17 を使用することをお勧めします。