本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用安全群組控制存取
VPC安全群組可控制流量進出資料庫個體叢集的存取權。根據預設,您資料庫叢集的網路存取是關閉的。您可以在允許從 IP 地址範圍、連接埠或安全群組存取的安全群組中指定規則。設定傳入規則後,相同規則就會套用到與該安全群組相關聯的所有資料庫叢集。您最多可在安全群組中指定 20 條規則。
VPC安全性群組概觀
每個VPC安全群組規則都可讓特定來源存取與VPC該VPC安全群組相關聯的資料庫個體叢集。來源可以是位址範圍 (例如 203.0.113.0/24),也可以是其他安全性群組。VPC藉由指定VPC安全群組做為來源,即可允許來自使用來源VPC安全性群組的所有執行個體 (通常是應用程式伺服器) 的傳入流量。VPC安全群組可以擁有同時控制輸入和輸出流量的規則。但是,傳出流量規則通常不適用於資料庫叢集。僅在資料庫叢集充當用戶端時,傳出流量規則才適用。您必須使用主VPC控台上的 Amazon EC2 API 或安全群組選項來建立VPC安全群組。
當您為允許存取的叢集的VPC安全性群組建立規則時VPC,必須為規則允許存取的每個位址範圍指定連接埠。例如,如果您想要針對中的執行個體開啟安全殼層 (SSH) 存取權VPC,請建立一個規則,允許針對指定的位址範圍存取TCP連接埠 22。
您可以設定多個VPC安全群組,允許存取您中不同執行個體的不同連接埠VPC。例如,您可以建立一個VPC安全群組,允許存取VPC. TCP 然後,您可以建立另一個VPC安全群組 SQL Aurora 以便TCP在您. RDS SQL
注意
在 Aurora 資料庫叢集中,與資料庫叢集關聯的VPC安全群組也會與資料庫叢集中的所有資料庫執行個體相關聯。如果您變更資料庫叢集或資料庫執行個體的VPC安全群組,變更會自動套用至資料庫叢集中的所有資料庫執行個體。
如需有關VPC安全群組的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的安全群組。
注意
如果您的資料庫叢集位於VPC但無法公開存取,您也可以使用 AWS 站點對站點VPN連接或 AWS Direct Connect 從私人網絡訪問它的連接。如需詳細資訊,請參閱網際網路流量隱私權。
安全群組案例
資料庫叢集的常見用途VPC是與在 Amazon 執行個體中EC2執行的應用程式伺服器共用資料VPC,該伺服器可由外部的用戶端應用程式存取VPC。對於此案例,您可以使用上的RDS和VPC頁面 AWS Management Console 或建立必要執行個體RDS和安全性群組的和EC2API作業:
-
建立VPC安全性群組 (例如,
sg-0123ec2example) 並定義使用用戶端應用程式 IP 位址做為來源的輸入規則。此安全性群組可讓您的用戶端應用程式連線至使用VPC此安全性群組的EC2執行個體。 -
為應用程式建立EC2執行個體,並將EC2執行個體新增至您在上一個步驟中建立的VPC安全性群組 (
sg-0123ec2example)。 -
建立第二個VPC安全性群組 (例如,
sg-6789rdsexample) 並指定您在步驟 1 (sg-0123ec2example) 中建立的VPC安全性群組做為來源,以建立新規則。 -
建立新的資料庫叢集,並將資料庫叢集新增至您在上一個步驟中建立的VPC安全群組 (
sg-6789rdsexample)。建立資料庫叢集時,請使用與您在步驟 3 中建立的VPC安全群組 (sg-6789rdsexample) 規則所指定的連接埠號碼相同。
此案例可以下列圖表顯示。
如需針對此案例設定VPC的詳細指示,請參閱教學課程:建立要與資料庫叢集搭配使用的 VPC (僅限 IPv4)。如需使用 a 的詳細資訊VPC,請參閱Amazon VPC 和 極光。
建立VPC安全性群組
您可以使用VPC主控台為資料庫執行個體建立VPC安全群組。如需建立安全群組的相關資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的透過建立安全群組,在 中提供資料庫叢集VPC的存取權和安全群組。
將安全群組與資料庫叢集建立關聯
您可以使用主控RDS台RDSAPI、ModifyDBCluster Amazon 或 modify-db-cluster AWS CLI 指令。
下列CLI範例會關聯特定VPC群組,並從資料庫叢集移除資料庫安全性群組
aws rds modify-db-cluster --db-cluster-identifierdbName--vpc-security-group-idssg-ID
如需修改資料庫叢集的詳細資訊,請參閱修改 Amazon Aurora 資料庫叢集。
