Mengamankan koneksi instans SQL DB Saya

Anda dapat mengelola keamanan instans My SQL DB Anda.

Topik

SQLKeamanan saya di Amazon RDS

Keamanan untuk instans SQL DB Saya dikelola pada tiga tingkatan:

AWS Identity and Access Management mengontrol siapa yang dapat melakukan tindakan RDS manajemen Amazon pada instans DB. Saat Anda terhubung AWS menggunakan IAM kredensyal, IAM akun Anda harus memiliki IAM kebijakan yang memberikan izin yang diperlukan untuk melakukan operasi pengelolaan AmazonRDS. Untuk informasi selengkapnya, lihat Manajemen identitas dan akses untuk Amazon RDS Amazon.
Saat membuat instans DB, Anda menggunakan grup VPC keamanan untuk mengontrol perangkat dan EC2 instans Amazon mana yang dapat membuka koneksi ke titik akhir dan port instans DB. Koneksi ini dapat dibuat menggunakan Secure Sockets Layer (SSL) dan Transport Layer Security (TLS). Selain itu, aturan firewall di perusahaan Anda dapat mengendalikan apakah perangkat yang berjalan di perusahaan Anda boleh membuka koneksi dengan instans basis data.
Untuk mengautentikasi login dan izin untuk instans My SQL DB, Anda dapat mengambil salah satu dari pendekatan berikut, atau kombinasi dari mereka.

Anda dapat mengambil pendekatan yang sama dengan contoh yang berdiri sendiri dari-Ku. SQL Perintah seperti CREATE USER, RENAME USER, GRANT, REVOKE, dan SET PASSWORD beroperasi dalam basis data on-premise seperti halnya memodifikasi langsung tabel skema basis data. Namun, memodifikasi tabel skema database secara langsung bukanlah praktik terbaik, dan mulai dari RDS untuk SQL versi Saya 8.0.36, itu tidak didukung. Untuk selengkapnya, lihat Kontrol akses dan manajemen akun di SQL dokumentasi Saya.

Anda juga dapat menggunakan otentikasi IAM database. Dengan otentikasi IAM database, Anda mengautentikasi ke instans DB Anda dengan menggunakan IAM pengguna atau IAM peran dan token otentikasi. Token autentikasi adalah nilai unik yang dihasilkan dengan menggunakan proses penandatanganan Signature Versi 4. Dengan menggunakan otentikasi IAM basis data, Anda dapat menggunakan kredensyal yang sama untuk mengontrol akses ke AWS sumber daya dan basis data Anda. Untuk informasi selengkapnya, lihat Autentikasi basis data IAM untuk MariaDB, MySQL, dan PostgreSQL.

Pilihan lainnya adalah otentikasi Kerberos untuk RDS My. SQL Instans DB bekerja dengan AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengaktifkan otentikasi Kerberos. Ketika pengguna mengautentikasi dengan instans SQL DB Saya bergabung ke domain kepercayaan, permintaan otentikasi diteruskan. Permintaan yang diteruskan masuk ke direktori domain yang Anda buat dengan. AWS Directory Service Untuk informasi selengkapnya, lihat Penggunaan Kerberos otentikasi untuk Amazon RDS untuk Microsoft Server SQL.

Saat Anda membuat instans Amazon RDS DB, pengguna master memiliki hak istimewa default berikut:

Versi mesin Hak akses sistem Peran basis data

Versi mesin	Hak akses sistem	Peran basis data
RDSuntuk SQL versi Saya 8.0.36 dan lebih tinggi	`SELECT`, `INSERT`, `UPDATE`, `DELETE`, `CREATE`, `DROP`, `RELOAD`, `PROCESS`, `REFERENCES`, `INDEX`, `ALTER`, `SHOW DATABASES`, `CREATE TEMPORARY TABLES`, `LOCK TABLES`, `EXECUTE`, `REPLICATION SLAVE`, `REPLICATION CLIENT`, `CREATE VIEW`, `SHOW VIEW`, `CREATE ROUTINE`, `ALTER ROUTINE`, `CREATE USER`, `EVENT`, `TRIGGER`, `CREATE ROLE`, `DROP ROLE`, `APPLICATION_PASSWORD_ADMIN`, `ROLE_ADMIN`, `SET_USER_ID`, `XA_RECOVER_ADMIN`	`rds_superuser_role` Untuk informasi selengkapnya tentang `rds_superuser_role`, lihat Model hak istimewa berbasis peran untuk My RDS SQL.
RDSuntuk SQL versi Saya lebih rendah dari 8.0.36	`SELECT`, `INSERT`, `UPDATE`, `DELETE`, `CREATE`, `DROP`, `RELOAD`, `PROCESS`, `REFERENCES`, `INDEX`, `ALTER`, `SHOW DATABASES`, `CREATE TEMPORARY TABLES`, `LOCK TABLES`, `EXECUTE`, `REPLICATION CLIENT`, `CREATE VIEW`, `SHOW VIEW`, `CREATE ROUTINE`, `ALTER ROUTINE`, `CREATE USER`, `EVENT`, `TRIGGER`, `REPLICATION SLAVE`	—

RDSuntuk SQL versi Saya 8.0.36 dan lebih tinggi

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE ROLE, DROP ROLE, APPLICATION_PASSWORD_ADMIN, ROLE_ADMIN, SET_USER_ID, XA_RECOVER_ADMIN

rds_superuser_role

Untuk informasi selengkapnya tentang rds_superuser_role, lihat Model hak istimewa berbasis peran untuk My RDS SQL.

RDSuntuk SQL versi Saya lebih rendah dari 8.0.36

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, REPLICATION SLAVE

—

catatan

Meskipun pengguna master pada instans DB memungkinkan untuk dihapus, tindakan ini tidak disarankan. Untuk membuat ulang pengguna master, gunakan odifyDBInstance RDS API operasi M atau modify-db-instance AWS CLI perintah dan tentukan kata sandi pengguna master baru dengan parameter yang sesuai. Jika tidak ada dalam instans, pengguna master akan dibuat dengan kata sandi yang ditentukan.

Untuk menyediakan layanan pengelolaan bagi setiap instans basis data, pengguna rdsadmin dibuat saat instans basis data dibuat. Upaya untuk menghapus, mengganti nama, mengubah kata sandi, atau mengubah hak istimewa untuk akun rdsadmin akan mengakibatkan kesalahan.

Untuk memungkinkan manajemen instans DB, perintah kill dan kill_query standar telah dibatasi. Amazon RDS memerintahkan rds_kill dan rds_kill_query disediakan untuk memungkinkan Anda mengakhiri sesi pengguna atau kueri pada instans DB.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pemecahan Masalah

Plugin Validasi Kata Sandi