Meine SQL DB-Instance-Verbindungen sichern - Amazon Relational Database Service
Meine SQL Sicherheit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Meine SQL DB-Instance-Verbindungen sichern

Sie können die Sicherheit Ihrer My SQL DB-Instances verwalten.

Themen

Meine SQL Sicherheit bei Amazon RDS

Die Sicherheit für My SQL DB-Instances wird auf drei Ebenen verwaltet:

  • AWS Identity and Access Management steuert, wer RDS Amazon-Verwaltungsaktionen auf DB-Instances ausführen kann. Wenn Sie AWS mithilfe von IAM Anmeldeinformationen eine Verbindung herstellen, muss Ihr IAM Konto über IAM Richtlinien verfügen, die die für die Durchführung von RDS Amazon-Verwaltungsvorgängen erforderlichen Berechtigungen gewähren. Weitere Informationen finden Sie unter Identitäts- und Zugriffsmanagement für Amazon RDS.

  • Wenn Sie eine DB-Instance erstellen, verwenden Sie eine VPC Sicherheitsgruppe, um zu steuern, welche Geräte und EC2 Amazon-Instances Verbindungen zum Endpunkt und Port der DB-Instance öffnen können. Diese Verbindungen können mit Secure Sockets Layer (SSL) und Transport Layer Security (TLS) hergestellt werden. Zusätzlich können Firewall-Regeln in Ihrem Unternehmen steuern, ob Geräte in Ihrem Unternehmen bestehende Verbindungen zur DB-Instance öffnen können.

  • Um die Anmeldung und die Berechtigungen für eine My SQL DB-Instance zu authentifizieren, können Sie einen der folgenden Ansätze oder eine Kombination davon wählen.

    Sie können den gleichen Ansatz wie bei einer eigenständigen Instance von My wählen. SQL Befehle wie CREATE USER, RENAME USER, GRANT, REVOKE und SET PASSWORD funktionieren genau wie auf lokalen Datenbanken, so wie auch das direkte Ändern von Datenbank-Schema-Tabellen. Das direkte Ändern der Datenbankschematabellen ist jedoch keine bewährte Methode und wird ab RDS SQL Version 8.0.36 von My nicht mehr unterstützt. Weitere Informationen finden Sie unter Zugriffskontrolle und Kontoverwaltung in der Dokumentation MeineSQL.

    Sie können auch die IAM Datenbankauthentifizierung verwenden. Bei der IAM Datenbankauthentifizierung authentifizieren Sie sich bei Ihrer DB-Instance, indem Sie einen IAM Benutzer oder eine IAM Rolle und ein Authentifizierungstoken verwenden. Ein Authentifizierungstoken ist ein eindeutiger Wert, der mithilfe des Signatur-Version 4-Signiervorgangs erstellt wird. Mithilfe der IAM Datenbankauthentifizierung können Sie dieselben Anmeldeinformationen verwenden, um den Zugriff auf Ihre AWS Ressourcen und Datenbanken zu kontrollieren. Weitere Informationen finden Sie unter IAM-Datenbankauthentifizierung für MariaDB, MySQL und PostgreSQL.

    Eine weitere Option ist die Kerberos-Authentifizierung RDS für My. SQL Die DB-Instance arbeitet mit AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD), um die Kerberos-Authentifizierung zu aktivieren. Wenn sich Benutzer mit einer My SQL DB-Instance authentifizieren, die der vertrauenden Domäne beigetreten ist, werden Authentifizierungsanfragen weitergeleitet. Weitergeleitete Anfragen werden in das Domänenverzeichnis verschoben, mit dem Sie sie erstellen. AWS Directory Service Weitere Informationen finden Sie unter Die Verwendung von Kerberos Authentifizierung für Amazon RDS für Microsoft SQL Server.

Wenn Sie eine RDS Amazon-DB-Instance erstellen, hat der Master-Benutzer die folgenden Standardberechtigungen:

Engine-Version Systemberechtigung Datenbankrolle

RDSfür meine SQL Version 8.0.36 und höher

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE ROLE, DROP ROLE, APPLICATION_PASSWORD_ADMIN, ROLE_ADMIN, SET_USER_ID, XA_RECOVER_ADMIN

rds_superuser_role

Mehr über rds_superuser_role erfahren Sie unter Rollenbasiertes Privilegienmodell für for My RDS SQL.

RDSfür meine SQL Versionen unter 8.0.36

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, REPLICATION SLAVE

Anmerkung

Obwohl es möglich ist, den Masterbenutzer in der DB-Instance zu löschen, wird dies nicht empfohlen. Um den Master-Benutzer neu zu erstellen, verwenden Sie die odifyDBInstanceRDSAPIM-Operation oder den modify-db-instance AWS CLI Befehl und geben Sie ein neues Masteruser-Passwort mit dem entsprechenden Parameter an. Wenn der Masterbenutzer nicht bereits in der Instance vorhanden ist, wird der Masterbenutzer mit dem angegebenen Passwort erstellt.

Um Verwaltungsdienste für jede DB-Instance bereitzustellen, wird der rdsadmin-Benutzer erstellt, wenn die DB-Instance erstellt wird. Der Versuch, das Passwort zu verwerfen, umzubenennen oder zu ändern, oder die Sonderrechte für das rdsadmin-Konto zu ändern, wird fehlschlagen.

Um die Verwaltung der DB-Instance zu erlauben, wurden die Befehle kill und kill_query beschränkt. Die RDS Amazon-Befehle rds_kill und rds_kill_query werden bereitgestellt, damit Sie Benutzersitzungen oder Abfragen auf DB-Instances beenden können.