Sicurezza MariadB su Amazon RDS - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza MariadB su Amazon RDS

La sicurezza delle istanze database MariaDB è gestita su tre livelli:

  • AWS Identity and Access Management controlla chi può eseguire azioni di RDS gestione di Amazon sulle istanze DB. Quando ti connetti AWS utilizzando le IAM credenziali, il tuo IAM account deve disporre IAM di politiche che concedano le autorizzazioni necessarie per eseguire le operazioni di RDS gestione di Amazon. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon RDS.

  • Quando crei un'istanza DB, utilizzi un gruppo VPC di sicurezza per controllare quali dispositivi e EC2 istanze Amazon possono aprire connessioni all'endpoint e alla porta dell'istanza DB. Queste connessioni possono essere effettuate utilizzando Secure Socket Layer (SSL) e Transport Layer Security (TLS). Le regole del firewall aziendale possono inoltre determinare se i dispositivi in esecuzione nell'azienda possono aprire connessioni all'istanza database.

  • Dopo la creazione di una connessione a un'istanza database MariaDB, l'autenticazione del login e le autorizzazioni sono applicate come in un'istanza autonoma di MariaDB. I comandi come CREATE USER, RENAME USER, GRANT, REVOKE e SET PASSWORD funzionano esattamente come nei database autonomi, come avviene per la modifica diretta delle tabelle dello schema del database.

Quando crei un'istanza Amazon RDS DB, l'utente master dispone dei seguenti privilegi predefiniti:

  • alter

  • alter routine

  • create

  • create routine

  • create temporary tables

  • create user

  • create view

  • delete

  • drop

  • event

  • execute

  • grant option

  • index

  • insert

  • lock tables

  • process

  • references

  • reload

    Questo privilegio è limitato sulle istanze database di MariaDB. Non concede l'accesso alle FLUSH TABLES WITH READ LOCK operazioni FLUSH LOGS o.

  • replication client

  • replication slave

  • select

  • show create routine

    Questo privilegio è disponibile solo sulle istanze di MariadB DB che eseguono la versione 11.4 e successive.

  • show databases

  • show view

  • trigger

  • update

Per ulteriori informazioni su questi privilegi, consulta User Account Management nella documentazione di MariaDB.

Nota

Sebbene sia possibile eliminare l'utente master in un'istanza database, consigliamo di non farlo. Per ricreare l'utente principale, usa ModifyDBInstance API o modify-db-instance AWS CLI e specifica una nuova password per l'utente principale con il parametro appropriato. Se l'utente master non è presente nell'istanza, viene creato con la password specificata.

Per fornire servizi di gestione per ogni istanza database, viene creato l'utente rdsadmin al momento della creazione dell'istanza database. I tentativi di rimuovere, rinominare, cambiare la password o modificare i privilegi dell'account rdsadmin produrranno errori.

Per consentire la gestione dell'istanza database, i comandi standard kill e kill_query sono stati limitati. RDSI comandi Amazonmysql.rds_kill,mysql.rds_kill_query, mysql.rds_kill_query_id sono forniti per l'uso in MariaDB e anche in SQL My in modo da poter terminare le sessioni o le query degli utenti sulle istanze DB.