# Aurora DSQL 的安全最佳实践
<a name="best-practices-security"></a>

Aurora DSQL 提供了在您开发和实施自己的安全策略时需要考虑的许多安全功能。以下最佳实践是一般指导原则，并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求，请将其视为有用的考虑因素而不是惯例。

**Topics**
+ [

# Aurora DSQL 的检测性安全最佳实践
](best-practices-security-detective.md)
+ [

# Aurora DSQL 的预防性安全最佳实践
](best-practices-security-preventative.md)

# Aurora DSQL 的检测性安全最佳实践
<a name="best-practices-security-detective"></a>

除了以下安全使用 Aurora DSQL 的方法外，请参阅 AWS Well-Architected Tool 中的[安全性](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)，以了解云技术如何提高安全性。

**Amazon CloudWatch 警报**  
使用 Amazon CloudWatch 警报，您可以在指定时间段内监控某个指标。如果指标超过给定阈值，则会向 Amazon SNS 主题或 AWS Auto Scaling 策略发送通知。CloudWatch 警报将不会调用操作，因为这些操作处于特定状态。而是必须在状态已改变并在指定的若干个时间段内保持不变后才调用。

**标记 Aurora DSQL 资源以进行标识和自动化**  
可以将自己的元数据以标签形式分配给 AWS 资源。每个标签都是一个标注，包含一个客户定义的密钥和一个可选值，方便管理、搜索和筛选资源。  
标签可实现分组控制。尽管没有固有类型的标签，但利用标签，可以根据用途、所有者、环境或其他条件分类资源。下面是一些示例：  
+ 安全性 – 用于确定加密等要求。
+ 机密性 – 资源支持的特定数据机密等级的标识符。
+ 环境 – 用于区分开发、测试和生产基础设施。
可以将自己的元数据以标签形式分配给 AWS 资源。每个标签都是一个标注，包含一个客户定义的密钥和一个可选值，方便管理、搜索和筛选资源。  
标签可实现分组控制。尽管没有固有类型的标签，但利用标签，您可以根据用途、所有者、环境或其他标准来将 资源分类。下面是一些示例。  
+ 安全性：用于确定加密等要求。
+ 机密性：资源支持的特定数据机密等级的标识符。
+ 环境：用于区分开发、测试和生产基础设施。
有关更多信息，请参阅 [Best Practices for Tagging AWS Resources](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)。

# Aurora DSQL 的预防性安全最佳实践
<a name="best-practices-security-preventative"></a>

除了以下安全使用 Aurora DSQL 的方法外，请参阅 AWS Well-Architected Tool 中的[安全性](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)，以了解云技术如何提高安全性。

**使用 IAM 角色对 Aurora DSQL 的访问进行身份验证。**  
访问 Aurora DSQL 的用户、应用程序和其它 AWS 服务都必须在 AWS API 和 AWS CLI 请求中包含有效的 AWS 凭证。您不应直接在应用程序或 EC2 实例中存储 AWS 凭证。这些是长期凭证，不会自动轮换。如果这些凭证遭到泄露，则会对业务产生重大影响。利用 IAM 角色，您可以获得可用于访问 AWS 服务和资源的临时访问密钥。  
有关更多信息，请参阅 [Aurora DSQL 的身份验证和授权](authentication-authorization.md)。

**使用 IAM 策略进行 Aurora DSQL 基本授权。**  
当您授予权限时，您将决定谁会获得这些权限，获得对于哪些 Aurora DSQL API 的权限，以及支持对这些资源执行的具体操作。实施最低权限对于减小安全风险以及错误或恶意意图造成的影响至关重要。  
将权限策略附加到 IAM 角色，并授予对 Aurora DSQL 资源执行操作的权限。[IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)也可用，借助该边界，您可以设置基于身份的策略可向 IAM 实体授予的最大权限。  
与[您的 AWS 账户的根用户最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)类似，请勿使用 Aurora DSQL 中的 `admin` 角色来执行日常操作。相反，我们建议您创建自定义数据库角色来管理和连接到集群。有关更多信息，请参阅[访问 Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) 和[了解 Aurora DSQL 的身份验证和授权](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html)。

**在生产环境中使用 `verify-full`。**  
此设置验证服务器证书是否由受信任的证书颁发机构签名，以及服务器主机名是否与证书匹配。

**更新 PostgreSQL 客户端**  
定期将 PostgreSQL 客户端更新到最新版本，以受益于安全性方面的改进。建议使用 PostgreSQL 版本 17。