Protezione delle connessioni delle mie istanze SQL DB - Amazon Relational Database Service
La mia SQL sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione delle connessioni delle mie istanze SQL DB

Puoi gestire la sicurezza delle tue istanze My SQL DB.

Argomenti

La mia SQL sicurezza su Amazon RDS

La sicurezza per le istanze My SQL DB è gestita a tre livelli:

  • AWS Identity and Access Management controlla chi può eseguire azioni di RDS gestione di Amazon sulle istanze DB. Quando ti connetti AWS utilizzando le IAM credenziali, il tuo IAM account deve disporre IAM di politiche che concedano le autorizzazioni necessarie per eseguire le operazioni di RDS gestione di Amazon. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon RDS.

  • Quando crei un'istanza DB, utilizzi un gruppo VPC di sicurezza per controllare quali dispositivi e EC2 istanze Amazon possono aprire connessioni all'endpoint e alla porta dell'istanza DB. Queste connessioni possono essere effettuate utilizzando Secure Sockets Layer (SSL) e Transport Layer Security (). TLS Le regole del firewall aziendale possono inoltre determinare se i dispositivi in esecuzione nell'azienda possono aprire connessioni all'istanza database.

  • Per autenticare l'accesso e le autorizzazioni per un'istanza My SQL DB, puoi adottare uno dei seguenti approcci o una combinazione di essi.

    Puoi adottare lo stesso approccio di un'istanza autonoma di My. SQL I comandi come CREATE USER, RENAME USER, GRANT, REVOKE e SET PASSWORD funzionano esattamente come nei database in locale, modificando direttamente le tabelle dello schema del database. Tuttavia, la modifica diretta delle tabelle dello schema del database non è una procedura consigliata e, a partire dalla RDS SQL versione My 8.0.36, non è supportata. Per informazioni, consulta Controllo degli accessi e gestione degli account nella documentazione personale. SQL

    Puoi anche utilizzare l'autenticazione IAM del database. Con l'autenticazione del IAM database, ti autentichi sulla tua istanza DB utilizzando un IAM utente o un IAM ruolo e un token di autenticazione. Il token di autenticazione è un valore univoco, generato tramite il processo di firma Signature Version 4. Utilizzando l'autenticazione IAM del database, puoi utilizzare le stesse credenziali per controllare l'accesso alle tue AWS risorse e ai tuoi database. Per ulteriori informazioni, consulta Autenticazione del database IAM per MariaDB, MySQL e PostgreSQL.

    Un'altra opzione è l'autenticazione Kerberos for RDS My. SQL L'istanza DB funziona con AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) per abilitare l'autenticazione Kerberos. Quando gli utenti si autenticano con un'istanza My SQL DB aggiunta al dominio trusting, le richieste di autenticazione vengono inoltrate. Le richieste inoltrate vanno alla directory del dominio con cui crei. AWS Directory Service Per ulteriori informazioni, consulta Utilizzo Kerberos autenticazione per Amazon RDS per Microsoft SQL Server.

Quando crei un'istanza Amazon RDS DB, l'utente master dispone dei seguenti privilegi predefiniti:

Versione del motore Privilegio del sistema Ruolo di database

RDSper la mia SQL versione 8.0.36 e successive

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE ROLE, DROP ROLE, APPLICATION_PASSWORD_ADMIN, ROLE_ADMIN, SET_USER_ID, XA_RECOVER_ADMIN

rds_superuser_role

Per ulteriori informazioni su rds_superuser_role, consulta Modello di privilegi basato sui ruoli per for My RDS SQL.

RDSper le mie SQL versioni precedenti alla 8.0.36

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, REPLICATION SLAVE

Nota

È possibile eliminare l'utente master nell'istanza database, ma non è consigliato farlo. Per ricreare l'utente principale, utilizzate l'odifyDBInstanceRDSAPIoperazione M o il modify-db-instance AWS CLI comando e specificate una nuova password per l'utente principale con il parametro appropriato. Se l'utente master non è presente nell'istanza, viene creato con la password specificata.

Per fornire servizi di gestione per ogni istanza database, viene creato l'utente rdsadmin al momento della creazione dell'istanza database. I tentativi di rimuovere l'account rdsadmin, assegnargli un nuovo nome, modificarne la password o modificarne i privilegi genereranno un errore.

Per consentire la gestione dell'istanza database, i comandi standard kill e kill_query sono stati limitati. I RDS comandi rds_kill Amazon rds_kill_query vengono forniti per consentire l'esecuzione di sessioni o query degli utenti finali su istanze DB.