Вот несколько мер безопасности, которые вы можете предпринять, чтобы уменьшить радиус взрыва.
Переместите свои учетные данные для базы данных RDS, чтобы они не находились непосредственно в экземпляре, используйте хранилище учетных данных, например:
Чаще меняйте учетные данные своей базы данных и используйте роли IAM для ваших приложений EC2 и не пользователей IAM.
Держите EC2 и RDS в частных подсетях, добавьте ELB перед EC2, чтобы publi c traffic c мог только доступ только к этому устройству.
Настройте группы безопасности так, чтобы они ограничивались тем, что им нужно, ограничьте входящий доступ к вашему AWS VP C с помощью VPN или прямого подключения.
Ограничить доступ для того, кто что может делать в вашей учетной записи AWS, если пользователю не нужно выполнять определенные действия для своей роли, просто удалите эти разрешения. Это предотвратит случайное действие со службой, которую пользователь не должен использовать.
AWS имеют большое количество действий, которые вы можете выполнить и в опоре безопасности , поэтому обязательно прочтите это.