Sécurisation des connexions à l'instance My SQL DB - Amazon Relational Database Service
Ma SQL sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurisation des connexions à l'instance My SQL DB

Vous pouvez gérer la sécurité de vos instances My SQL DB.

Rubriques

Ma SQL sécurité sur Amazon RDS

La sécurité des instances My SQL DB est gérée à trois niveaux :

  • AWS Identity and Access Management contrôle qui peut effectuer des actions de RDS gestion Amazon sur les instances de base de données. Lorsque vous vous connectez à AWS l'aide IAM d'informations d'identification, votre IAM compte doit disposer de IAM politiques accordant les autorisations requises pour effectuer les opérations RDS de gestion Amazon. Pour de plus amples informations, veuillez consulter Gestion des identités et des accès pour Amazon RDS.

  • Lorsque vous créez une instance de base de données, vous utilisez un groupe VPC de sécurité pour contrôler quels appareils et EC2 instances Amazon peuvent ouvrir des connexions au point de terminaison et au port de l'instance de base de données. Ces connexions peuvent être établies à l'aide de Secure Sockets Layer (SSL) et de Transport Layer Security (TLS). En outre, les règles de pare-feu de votre entreprise peuvent contrôler si les appareils en cours d'exécution dans votre entreprise peuvent ouvrir des connexions à l'instance de base de données.

  • Pour authentifier la connexion et les autorisations pour une instance My SQL DB, vous pouvez adopter l'une des approches suivantes ou une combinaison des deux.

    Vous pouvez adopter la même approche qu'avec une instance autonome de MySQL. Les commandes telles que CREATE USER, RENAME USER, GRANT, REVOKE et SET PASSWORD fonctionnent de la même façon que dans les bases de données sur site, comme le fait la modification directe des tables du schéma de base de données. Cependant, la modification directe des tables du schéma de base de données n'est pas une bonne pratique et, à partir RDS de My SQL version 8.0.36, elle n'est plus prise en charge. Pour plus d'informations, consultez la section Contrôle d'accès et gestion des comptes dans la section Ma SQL documentation.

    Vous pouvez également utiliser l'authentification IAM de base de données. Avec l'authentification IAM de base de données, vous vous authentifiez auprès de votre instance de base de données à l'aide d'un IAM utilisateur ou d'un IAM rôle et d'un jeton d'authentification. Un jeton d'authentification est une valeur unique qui est générée à l'aide du processus de signature Signature Version 4. En utilisant l'authentification IAM de base de données, vous pouvez utiliser les mêmes informations d'identification pour contrôler l'accès à vos AWS ressources et à vos bases de données. Pour de plus amples informations, veuillez consulter Authentification de base de données IAM pour MariaDB, MySQL et PostgreSQL.

    Une autre option est l'authentification Kerberos pour RDS for My. SQL L'instance de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) pour activer l'authentification Kerberos. Lorsque les utilisateurs s'authentifient auprès d'une instance My SQL DB jointe au domaine de confiance, les demandes d'authentification sont transmises. Les demandes transférées sont redirigées vers le répertoire de domaines que vous avez créé AWS Directory Service. Pour de plus amples informations, veuillez consulter Utilisation Kerberos authentification pour Amazon RDS pour Microsoft SQL Server.

Lorsque vous créez une RDS instance de base de données Amazon, l'utilisateur principal dispose des privilèges par défaut suivants :

Version de moteur Privilège système Rôle de base de données

RDSpour My SQL version 8.0.36 et supérieure

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE ROLE, DROP ROLE, APPLICATION_PASSWORD_ADMIN, ROLE_ADMIN, SET_USER_ID, XA_RECOVER_ADMIN

rds_superuser_role

Pour plus d'informations sur rds_superuser_role, consultez Modèle de privilèges basé sur les rôles pour for My RDS SQL.

RDSpour mes SQL versions inférieures à 8.0.36

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, REPLICATION SLAVE

Note

Bien qu'il soit possible de supprimer l'utilisateur maître sur l'instance de base de données, il n'est pas recommandé de le faire. Pour recréer l'utilisateur principal, utilisez l'odifyDBInstanceRDSAPIopération M ou la modify-db-instance AWS CLI commande et spécifiez un nouveau mot de passe utilisateur principal avec le paramètre approprié. Si l'utilisateur maître n'existe pas dans l'instance, il est créé avec le mot de passe spécifié.

Pour fournir des services de gestion à chaque instance de base de données, l'utilisateur rdsadmin est créé lors de la création de l'instance de base de données. Les tentatives de supprimer, renommer et modifier le mot de passe du compte rdsadmin, ou d'en modifier les privilèges, génèrent une erreur.

Pour autoriser la gestion de l'instance de base de données, les commandes standard kill et kill_query ont fait l'objet de restrictions. Les RDS commandes rds_kill Amazon rds_kill_query sont fournies pour vous permettre de mettre fin aux sessions utilisateur ou aux requêtes sur les instances de base de données.