Amazon RDS MariaDB 보안 - Amazon Relational Database Service

Amazon RDS MariaDB 보안

MariaDB DB 인스턴스용 보안은 세 가지 수준에서 관리됩니다.

  • AWS Identity and Access Management는 DB 인스턴스에서 Amazon RDS 관리 작업을 수행할 수 있는 사용자를 제어합니다. IAM 자격 증명을 사용하여 AWS에 연결할 때, IAM 계정은 Amazon RDS 관리 작업을 수행하는 데 필요한 권한을 부여하는 IAM 정책을 보유하고 있어야 합니다. 자세한 내용은 Amazon RDS의 자격 증명 및 액세스 관리 단원을 참조하십시오.

  • DB 인스턴스를 생성할 때 VPC 보안 그룹을 사용하여 어떤 디바이스와 Amazon EC2 인스턴스가 DB 인스턴스의 엔드포인트 및 포트에 대한 연결을 열 수 있는지를 제어하게 됩니다. 보안 소켓 계층(SSL) 및 전송 계층 보안(TLS)을 사용하여 이러한 연결을 구성할 수 있습니다. 또한 회사의 방화벽 규칙을 통해 회사에서 실행하는 디바이스가 DB 인스턴스에 대한 연결을 열 수 있는지를 제어할 수 있습니다.

  • 일단 MariaDB DB 인스턴스에 대한 연결이 활성화되면, 로그인 및 권한에 대한 인증은 MariaDB의 독립 실행형 인스턴스에서와 동일한 방식으로 적용됩니다. CREATE USER, RENAME USER, GRANT, REVOKESET PASSWORD 등의 명령은 독립 실행형 데이터베이스에서 작동하는 것과 마찬가지로 작동하며, 데이터베이스 스키마 테이블을 직접 수정할 때도 동일합니다.

Amazon RDS DB 인스턴스를 생성할 때 마스터 사용자는 다음과 같은 기본 권한을 갖습니다.

  • alter

  • alter routine

  • create

  • create routine

  • create temporary tables

  • create user

  • create view

  • delete

  • drop

  • event

  • execute

  • grant option

  • index

  • insert

  • lock tables

  • process

  • references

  • reload

    MariaDB DB 인스턴스에서 이 권한은 제한됩니다. FLUSH LOGS 또는 FLUSH TABLES WITH READ LOCK 작업에는 액세스할 수 없습니다.

  • replication client

  • replication slave

  • select

  • show create routine

    이 권한은 버전 11.4 이상을 실행하는 MariaDB DB 인스턴스에만 적용됩니다.

  • show databases

  • show view

  • trigger

  • update

권한에 대한 자세한 내용은 MariaDB 설명서에서 User Account Management를 참조하세요.

참고

DB 인스턴스에서 마스터 사용자를 삭제할 수는 있지만, 마스터 사용자를 삭제하지 않을 것을 권장합니다. 마스터 사용자를 다시 생성하려면 ModifyDBInstance API 또는 modify-db-instance AWS CLI를 사용하고 적절한 파라미터와 함께 새 마스터 사용자 암호를 지정합니다. 마스터 사용자가 인스턴스에 존재하지 않는 경우 마스터 사용자가 지정된 암호와 함께 생성됩니다.

각 DB 인스턴스에 관리 서비스를 제공하기 위해 DB 인스턴스가 생성될 때 rdsadmin 사용자가 만들어집니다. rdsadmin 계정을 삭제하려고 하거나, 계정 이름 또는 암호를 변경하려고 하거나, 계정 권한을 변경하려고 하면 오류가 발생합니다.

DB 인스턴스의 관리를 허용하기 위해 표준 killkill_query 명령이 제한되었습니다. MariaDB 및 MySQL에서는 DB 인스턴스에서 사용자 세션 또는 쿼리를 종료할 수 있도록 Amazon RDS 명령 mysql.rds_kill, mysql.rds_kill_querymysql.rds_kill_query_id가 제공됩니다.