# Aurora DSQL의 보안 모범 사례
Aurora DSQL은 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 사용자의 환경에 적절하지 않거나 충분하지 않을 수 있으므로 규정이 아닌 참고용으로만 사용하세요.
**Topics**
+ [Aurora DSQL의 탐지 보안 모범 사례](best-practices-security-detective.md)
+ [Aurora DSQL의 예방 보안 모범 사례](best-practices-security-preventative.md)
# Aurora DSQL의 탐지 보안 모범 사례
Aurora DSQL을 안전하게 사용하는 다음 방법 외에도 클라우드 기술이 보안을 어떻게 개선하는지 알아보려면 AWS Well-Architected Tool의 [보안](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)을 참조하세요.
**Amazon CloudWatch 경보**
Amazon CloudWatch 경보를 사용하면 지정한 기간 동안 단일 지표를 감시합니다. 지표가 지정된 임계값을 초과하면 Amazon SNS 주제 또는 AWS Auto Scaling 정책으로 알림이 전송됩니다. CloudWatch 경보는 단순히 특정 상태에 있다고 해서 작업을 호출하지 않습니다. 대신, 상태가 변경되어 지정된 기간 동안 유지되어야 합니다.
**식별 및 자동화를 위해 Aurora DSQL 리소스에 태그 지정**
AWS 리소스에 태그 형태로 메타데이터를 지정할 수 있습니다. 각 태그는 리소스 관리, 검색 및 필터링을 더 수월하게 해줄 수 있는 옵션 값과 고객이 정의한 키로 구성된 간단한 레이블입니다.
태그를 지정하면 그룹화 제어를 구현할 수 있습니다. 고유한 태그 유형은 없지만 목적, 소유자, 환경 또는 기타 기준에 따라 리소스를 분류할 수 있습니다. 다음은 몇 가지 예입니다.
+ 보안 - 암호화와 같은 요구 사항을 결정하는 데 사용됩니다.
+ 기밀성 – 리소스가 지원하는 특정 데이터 기밀성 수준에 대한 식별자입니다.
+ 환경 - 개발, 테스트 및 프로덕션 인프라 간 구별에 사용됩니다.
AWS 리소스에 태그 형태로 메타데이터를 지정할 수 있습니다. 각 태그는 리소스 관리, 검색 및 필터링을 더 수월하게 해줄 수 있는 옵션 값과 고객이 정의한 키로 구성된 간단한 레이블입니다.
태그를 지정하면 그룹화 제어를 구현할 수 있습니다. 고유한 태그 유형은 없지만 목적, 소유자, 환경 또는 기타 기준에 따라 리소스를 분류할 수 있습니다. 다음은 몇 가지 예입니다.
+ 보안 - 암호화와 같은 요구 사항을 결정하는 데 사용됩니다.
+ 기밀성 – 리소스가 지원하는 특정 데이터 기밀성 수준에 대한 식별자입니다.
+ 환경 - 개발, 테스트 및 프로덕션 인프라 간 구별에 사용됩니다.
자세한 내용은 [Best Practices for Tagging AWS Resources](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)를 참조하세요.
# Aurora DSQL의 예방 보안 모범 사례
Aurora DSQL을 안전하게 사용하는 다음 방법 외에도 클라우드 기술이 보안을 어떻게 개선하는지 알아보려면 AWS Well-Architected Tool의 [보안](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)을 참조하세요.
**IAM 역할을 사용해 Aurora DSQL에 대한 액세스 인증**
Aurora DSQL에 액세스하는 사용자, 애플리케이션 및 기타 AWS 서비스는 AWS API 및 AWS CLI 요청에 유효한 AWS 자격 증명을 포함해야 합니다. AWS 자격 증명을 애플리케이션이나 EC2 인스턴스에 직접 저장해서는 안 됩니다. 이는 자동으로 교체되지 않는 장기 자격 증명입니다. 이러한 자격 증명이 손상되면 비즈니스에 상당한 영향을 미칩니다. IAM 역할을 사용하면 AWS 서비스 및 리소스에 액세스하는 데 사용할 수 있는 임시 액세스 키를 얻을 수 있습니다.
자세한 내용은 [Aurora DSQL에 대한 인증 및 권한 부여](authentication-authorization.md) 섹션을 참조하세요.
**Aurora DSQL 기본 권한 부여에 IAM 정책 사용**
권한을 부여할 때 권한을 부여받을 대상, 권한을 행사할 수 있는 Aurora DSQL API 작업, 해당 리소스에 허용하고자 하는 특정 작업을 결정합니다. 최소 권한을 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 줄일 수 있는 비결입니다.
권한 정책을 IAM 역할에 연결하고 Aurora DSQL 리소스에 대한 작업을 수행할 수 있는 권한을 부여합니다. 또한 [IAM 엔터티에 대한 권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 사용할 수 있으며, 이를 통해 ID 기반 정책이 IAM 엔터티에 부여할 수 있는 최대 권한을 설정할 수 있습니다.
[AWS 계정에 대한 루트 사용자 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)와 마찬가지로 Aurora DSQL의 `admin` 역할을 사용하여 일상적인 작업을 수행하지 마세요. 대신 사용자 지정 데이터베이스 역할을 생성하여 클러스터를 관리하고 연결하는 것이 좋습니다. 자세한 내용은 [Accessing Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) 및 [Understanding authentication and authorization for Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html)을 참조하세요.
**프로덕션 환경에서 `verify-full` 사용**
이 설정은 서버 인증서가 신뢰할 수 있는 인증 기관에서 서명되었고 서버 호스트 이름이 인증서와 일치하는지 확인합니다.
**PostgreSQL 클라이언트 업데이트**
보안 개선 사항을 활용하려면 PostgreSQL 클라이언트를 최신 버전으로 정기적으로 업데이트하세요. PostgreSQL 버전 17을 사용하는 것이 좋습니다.