数据库安全的核心思路：不要暴露公网，必须通过 VPC 私有子网和安全组来严格限制。安全组实践要点：只允许必要的来源（例如应用服务器），使用安全组引用，而不是宽泛的 IP 地址。运维访问建议：通过堡垒机或 Session Manager，而不是直接放行本地 IP。进阶安全措施：启用 IAM 认证、数据加密、审计与多可用区。通过这些措施，数据库层的安全性将显著提升。配合前一篇的 WAF + Cloud

操作日志审计服务它会记录：谁（用户/角色/服务）在什么时候在哪个区域对哪个资源执行了什么操作📌 举例：你在控制台创建了一个安全组→ CloudTrail 会记录“CreateSecurityGroup”事件你用 CLI 执行aws s3 ls→ CloudTrail 会记录“ListBuckets”事件👉 换句话说，CloudTrail = AWS 的“监控摄像头”。CloudTrail =