La seguridad de las instancias de bases de datos de MariaDB se administra en tres niveles:
-
AWS Identity and Access Management controla quién puede realizar acciones de administración de Amazon RDS en las instancias de base de datos. Cuando se conecta a AWS con credenciales de IAM, la cuenta de IAM debe tener políticas de IAM que concedan los permisos necesarios para realizar operaciones de administración de Amazon RDS. Para obtener más información, consulte Administración de la identidad y el acceso en Amazon RDS.
-
Al crear una instancia de base de datos, se usa un grupo de seguridad de VPC para controlar qué dispositivos e instancias de Amazon EC2 pueden abrir conexiones al punto de conexión y al puerto de la instancia de base de datos. Puede establecer estas conexiones de puerto y punto de enlace mediante la capa de sockets seguros (SSL) y la seguridad de la capa de transporte (TLS). Además, las reglas del firewall de su compañía pueden controlar si los dispositivos que se ejecutan en ella pueden abrir conexiones a la instancia de base de datos.
-
Una vez que se ha abierto una conexión a una instancia de base de datos de MariaDB, la autenticación del inicio de sesión y los permisos se aplican de la misma forma que en una instancia independiente de MariaDB. Los comandos como
CREATE USER,RENAME USER,GRANT,REVOKEySET PASSWORDfuncionan de la misma forma que en las bases de datos independientes, al igual que la modificación directa de las tablas de los esquemas de las bases de datos.
Cuando se crea una instancia de base de datos de Amazon RDS, el usuario maestro tiene los siguientes privilegios predeterminados:
-
alter -
alter routine -
create -
create routine -
create temporary tables -
create user -
create view -
delete -
drop -
event -
execute -
grant option -
index -
insert -
lock tables -
process -
references -
reloadEste privilegio está limitado en instancias de base de datos de MariaDB. No permite el acceso a las operaciones
FLUSH LOGSoFLUSH TABLES WITH READ LOCK. -
replication client -
replication slave -
select -
show create routineEste privilegio solo está disponible en las instancias de base de datos MariaDB que ejecutan la versión 11.4 y versiones posteriores.
-
show databases -
show view -
trigger -
update
Para obtener más información acerca de estos privilegios, consulte MariaDB User Account Management
nota
Aunque puede eliminar el usuario maestro en una instancia de base de datos, no es recomendable hacerlo. Para volver a crear el usuario maestro, utilice la ModifyDBInstance API o el modify-db-instance AWS CLI y especifique una nueva contraseña de usuario maestro con el parámetro adecuado. Si no existe el usuario maestro en la instancia, se crea con la contraseña especificada.
Para proporcionar servicios de administración para cada instancia de base de datos, se crea el usuario rdsadmin al crear la instancia de base de datos. Al intentar eliminar la cuenta rdsadmin o cambiar su nombre, su contraseña o sus privilegios, se producirá un error.
Para permitir la administración de la instancia de base de datos, los comandos estándar kill y kill_query se han restringido. Los comandos de Amazon RDS mysql.rds_kill, mysql.rds_kill_query y mysql.rds_kill_query_id se proporcionan para el uso en MariaDB y también en MySQL para que pueda finalizar las sesiones de usuario o las consultas en las instancias de base de datos.
