使用安全群組控制存取 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用安全群組控制存取

VPC安全群組可控制流量進出資料庫執行個體的存取權。根據預設,您資料庫執行個體的網路存取是關閉的。您可以在允許從 IP 地址範圍、連接埠或安全群組存取的安全群組中指定規則。設定傳入規則後,相同規則就會套用到與該安全群組相關聯的所有資料庫執行個體。您最多可在安全群組中指定 20 條規則。

VPC安全性群組概觀

每個VPC安全群組規則都可讓特定來源存取與VPC該VPC安全群組相關聯的資料庫執行個體集。來源可以是位址範圍 (例如 203.0.113.0/24),也可以是其他安全性群組。VPC藉由指定VPC安全群組做為來源,即可允許來自使用來源VPC安全性群組的所有執行個體 (通常是應用程式伺服器) 的傳入流量。VPC安全群組可以擁有同時控制輸入和輸出流量的規則。但是,傳出流量規則通常不適用於資料庫執行個體。僅在資料庫執行個體充當用戶端時,傳出流量規則才適用。例如,傳出流量規則適用於具有傳出資料庫連結的 Oracle 資料庫執行個體。您必須使用主VPC控台上的 Amazon EC2 API安全群組選項來建立VPC安全群組。

當您為允許存取的執行個體的VPC安全性群組建立規則時VPC,必須為規則允許存取的每個位址範圍指定連接埠。例如,如果您想要針對中的執行個體開啟安全殼層 (SSH) 存取權VPC,請建立一個規則,允許針對指定的位址範圍存取TCP連接埠 22。

您可以設定多個VPC安全群組,允許存取您中不同執行個體的不同連接埠VPC。例如,您可以建立一個VPC安全群組,允許存取VPC. TCP 然後,您可以建立另一個VPC安全群組 SQL 以便TCP在您VPC的. RDS SQL

如需有關VPC安全群組的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的安全群組。

注意

如果您的資料庫執行個體位於VPC但無法公開存取,您也可以使用 AWS 站點對站點VPN連接或 AWS Direct Connect 從私人網絡訪問它的連接。如需詳細資訊,請參閱網際網路流量隱私權

安全群組案例

資料庫執行個體的常見用途VPC是與在 Amazon 執行個體中EC2執行的應用程式伺服器共用資料VPC,該伺服器可由外部的用戶端應用程式存取VPC。對於此案例,您可以使用上的RDS和VPC頁面 AWS Management Console 或建立必要執行個體RDS和安全性群組的和EC2API作業:

  1. 建立VPC安全性群組 (例如,sg-0123ec2example) 並定義使用用戶端應用程式 IP 位址做為來源的輸入規則。此安全性群組可讓您的用戶端應用程式連線至使用VPC此安全性群組的EC2執行個體。

  2. 為應用程式建立EC2執行個體,並將EC2執行個體新增至您在上一個步驟中建立的VPC安全性群組 (sg-0123ec2example)。

  3. 建立第二個VPC安全性群組 (例如,sg-6789rdsexample) 並指定您在步驟 1 (sg-0123ec2example) 中建立的VPC安全性群組做為來源,以建立新規則。

  4. 建立新的資料庫執行個體,並將資料庫執行個體新增至您在上一個步驟中建立的VPC安全群組 (sg-6789rdsexample)。建立資料庫執行個體時,請使用與您在步驟 3 中建立的VPC安全群組 (sg-6789rdsexample) 規則所指定的連接埠號碼相同。

此案例可以下列圖表顯示。

資料庫執行個體和EC2執行個體 VPC

如需針對此案例設定VPC的詳細指示,請參閱教學課程:建立要與資料庫執行個體搭配使用的 VPC (僅限 IPv4)。如需使用 a 的詳細資訊VPC,請參閱Amazon VPC 和 RDSAmazon

建立VPC安全性群組

您可以使用VPC主控台為資料庫執行個體建立VPC安全群組。如需建立安全群組的相關資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的VPC透過建立安全群組,提供對資料庫執行個體的存取安全群組

將安全群組與資料庫執行個體建立關聯

您可以使用RDS主控台RDSAPI、ModifyDBInstance Amazon 或 modify-db-instance AWS CLI 指令。

下列CLI範例會關聯特定VPC安全群組,並從資料庫執行個體移除資料庫安全群組

aws rds modify-db-instance --db-instance-identifier dbName --vpc-security-group-ids sg-ID

如需修改資料庫執行個體的相關資訊,請參閱修改 Amazon RDS 資料庫執行個體。如需您從資料庫快照還原資料庫執行個體時的安全群組考量,請參閱安全群組考量

注意

如果連接埠值設定為非預設值,則RDS主控台會為您的資料庫顯示不同的安全群組規則名稱。

對RDS於 Oracle 資料庫執行處理,您可以填入 Oracle 企業管理員資料庫快速 (OEM)、企業管理員雲端控制 (OEM代理程式) 的 Oracle 管理代理程式和 Oracle 安全通訊端層選項的安全性群組選項設定,來關聯其他安全群組。在此情況下,與資料庫執行個體相關聯的安全群組和選項設定都會套用至資料庫執行個體。如需有關這些選項群組的詳細資訊Oracle Enterprise Manager,請參閱適用於 Enterprise Manager Cloud Control 的 Oracle Management Agent、和Oracle Secure Sockets Layer