本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Aurora DSQL 預防性安全最佳實務 除了下列安全使用 Aurora DSQL 的方式之外,請參閱 中的[安全性](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) AWS Well-Architected Tool ,以了解雲端技術如何改善您的安全性。 **使用 IAM 角色驗證對 Aurora DSQL 的存取權限。** 存取 Aurora DSQL 的使用者、應用程式和其他 AWS 服務 必須在 AWS API 和 AWS CLI 請求中包含有效的 AWS 登入資料。您不應將 AWS 登入資料直接存放在應用程式或 EC2 執行個體中。這些是不會自動輪換的長期憑證。如果這些憑證遭到入侵,會對業務產生重大影響。IAM 角色可讓您取得可用來存取 AWS 服務 和資源的臨時存取金鑰。 如需詳細資訊,請參閱[Aurora DSQL 的身分驗證和授權](authentication-authorization.md)。 **使用 IAM 政策進行 Aurora DSQL 基礎授權。** 您在授予許可權限時會決定誰可以取得許可權限、可以取得哪些 Aurora DSQL API 的許可權限,以及可以對這些資源進行的特定動作。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限是其中關鍵。 將許可權限政策連接至 IAM 角色,並授予許可權限在 Aurora DSQL 資源上執行作業。也提供 [IAM 實體的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html),可讓您設定身分型政策可授予 IAM 實體的最大許可權限。 與 [ 的根使用者最佳實務 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)類似,請勿使用 Aurora DSQL 中的 `admin`角色來執行日常操作。反之,我們建議您建立自訂資料庫角色以管理和連線至您的叢集。如需詳細資訊,請參閱[存取 Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) 和[瞭解 Aurora DSQL 的身分驗證和授權](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html)。 **在正式作業環境中使用 `verify-full`。** 此設定會驗證伺服器憑證是否由信任的憑證認證機構簽署,以及伺服器主機名稱是否與憑證相符。 **更新 PostgreSQL 用戶端** 定期將 PostgreSQL 用戶端更新為最新版本,以享有提升安全性的效益。我們建議使用 PostgreSQL 17 版。