# Aurora DSQL のセキュリティのベストプラクティス
Aurora DSQL には、独自のセキュリティポリシーを開発および実装する際に考慮する必要のあるいくつかのセキュリティ機能が用意されています。以下のベストプラクティスは一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。
**Topics**
+ [
# Aurora DSQL のセキュリティのベストプラクティス
](best-practices-security-detective.md)
+ [
# Aurora DSQL の予防的セキュリティのベストプラクティス
](best-practices-security-preventative.md)
# Aurora DSQL のセキュリティのベストプラクティス
Aurora DSQL を安全に使用する以下の方法に加えて、クラウドテクノロジーがセキュリティをどのように向上させるかについては、AWS Well-Architected Tool の「[セキュリティ](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)」を参照してください。
**Amazon CloudWatch アラーム**
Amazon CloudWatch アラームを使用して、指定した期間中、1 つのメトリクスをモニタリングします。メトリクスが特定の閾値を超えると、Amazon SNS トピックまたは AWS Auto Scaling ポリシーに通知が送信されます。CloudWatch アラームは、特定の状態にあるという理由ではアクションを呼び出しません。状態が変わり、それが指定した期間だけ維持される必要があります。
**識別とオートメーションのために Aurora DSQL リソースにタグを付ける**
AWS のリソースにメタデータをタグ付け形式で割り当てることができます。各タグは、カスタマー定義のキーと値 (オプション) で構成されるシンプルなラベルです。タグを使用すると、リソースの管理、検索、フィルターが容易になります。
タグ付けを行うと、グループ化されたコントロールを実装できます。タグには固有のタイプはありませんが、 用途、所有者、環境などの基準でリソースを分類できます。次に例をいくつか示します。
+ セキュリティ — 暗号化などの要件を決定するために使用されます。
+ 機密性 — リソースがサポートするデータ機密性レベルの識別子。
+ 環境 — 開発、テスト、本番稼働用インフラストラクチャを区別するために使用されます。
AWS のリソースにメタデータをタグ付け形式で割り当てることができます。各タグは、カスタマー定義のキーと値 (オプション) で構成されるシンプルなラベルです。タグを使用すると、リソースの管理、検索、フィルターが容易になります。
タグ付けを行うと、グループ化されたコントロールを実装できます。タグには、固有なタイプはありませんが、 リソースを用途、所有者、環境などの基準で分類できます。次に例をいくつか示します。
+ セキュリティ — 暗号化などの要件を決定するために使用されます。
+ 機密性 — リソースがサポートするデータ機密性レベルの識別子。
+ 環境 — 開発、テスト、本番稼働用インフラストラクチャを区別するために使用されます。
詳細については、「[Best Practices for Tagging AWS Resources](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)」を参照してください。
# Aurora DSQL の予防的セキュリティのベストプラクティス
Aurora DSQL を安全に使用する以下の方法に加えて、クラウドテクノロジーがセキュリティをどのように向上させるかについては、AWS Well-Architected Tool の「[セキュリティ](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)」を参照してください。
**IAM ロールを使用した Aurora DSQL へのアクセス認証**
Aurora DSQL にアクセスするユーザー、アプリケーション、およびその他の AWS のサービスは、AWS API および AWS CLI リクエストに有効な AWS 認証情報を含める必要があります。アプリケーションまたは EC2 インスタンスに AWS 認証情報を直接保存しないでください。これらは、自動的にローテーションされない長期的な認証情報です。これらの認証情報が漏えいした場合、ビジネスに重大な影響を与えます。IAM ロールにより、AWS のサービスおよびリソースへのアクセスに使用できる一時的なアクセスキーを取得することができます。
詳細については、「[Aurora DSQL の認証および認可](authentication-authorization.md)」を参照してください。
**Aurora DSQL ベース認可に IAM ポリシーを使用する**
許可を付与する場合、許可を取得するユーザー、取得する許可の対象となる Aurora DSQL API オペレーション、およびそれらのリソースに対して許可される特定のアクションを決定します。最小限の特権の実装は、セキュリティリスクはもちろん、エラーや悪意ある行動によってもたらされる可能性のある影響を減らす上での鍵となります。
アクセス許可ポリシーを IAM ロールにアタッチし、Aurora DSQL リソースでオペレーションを実行するアクセス許可を付与します。また、[IAM エンティティのアクセス許可の境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)も利用できます。これにより、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス許可の上限を設定できます。
「[AWS アカウントのルートユーザーのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)」と同様に、Aurora DSQL の `admin` ロールを使用して日常的なオペレーションを実行しないでください。代わりに、クラスターを管理して接続するためのカスタムデータベースロールを作成することをお勧めします。詳細については、「[Accessing Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html)」および「[Understanding authentication and authorization for Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html)」を参照してください。
**実稼働環境で `verify-full` を使用する**
この設定では、サーバー証明書が信頼できる認証局によって署名されていること、およびサーバーのホスト名が証明書と一致することを確認します。
**PostgreSQL クライアントを更新する**
セキュリティ強化の恩恵を受けるために、PostgreSQL クライアントを定期的に最新バージョンに更新してください。PostgreSQL バージョン 17 を使用することをお勧めします。