Sécurité de MariaDB sur Amazon RDS - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de MariaDB sur Amazon RDS

La sécurité des instances de base de données MariaDB est gérée à trois niveaux :

  • AWS Identity and Access Management contrôle qui peut effectuer des actions de RDS gestion Amazon sur les instances de base de données. Lorsque vous vous connectez à AWS l'aide IAM d'informations d'identification, votre IAM compte doit disposer de IAM politiques accordant les autorisations requises pour effectuer les opérations RDS de gestion Amazon. Pour de plus amples informations, veuillez consulter Gestion des identités et des accès pour Amazon RDS.

  • Lorsque vous créez une instance de base de données, vous utilisez un groupe VPC de sécurité pour contrôler quels appareils et EC2 instances Amazon peuvent ouvrir des connexions au point de terminaison et au port de l'instance de base de données. Ces connexions peuvent être établies à l'aide de Secure Socket Layer (SSL) et de Transport Layer Security (TLS). En outre, les règles de pare-feu de votre entreprise peuvent contrôler si les appareils en cours d'exécution dans votre entreprise peuvent ouvrir des connexions à l'instance de base de données.

  • Une fois qu'une connexion a été ouverte sur une instance de base de données MariaDB, l'authentification de la connexion et les autorisations sont appliquées de la même manière que dans une instance autonome de MariaDB. Les commandes telles que CREATE USER, RENAME USER, GRANT, REVOKE et SET PASSWORD fonctionnent de la même façon que dans les bases de données autonomes, comme le fait la modification directe des tables du schéma de base de données.

Lorsque vous créez une RDS instance de base de données Amazon, l'utilisateur principal dispose des privilèges par défaut suivants :

  • alter

  • alter routine

  • create

  • create routine

  • create temporary tables

  • create user

  • create view

  • delete

  • drop

  • event

  • execute

  • grant option

  • index

  • insert

  • lock tables

  • process

  • references

  • reload

    Ce privilège est limité sur les instances de base de données MariaDB. Il n'autorise pas l'accès aux FLUSH TABLES WITH READ LOCK opérations du FLUSH LOGS système d'exploitation.

  • replication client

  • replication slave

  • select

  • show create routine

    Ce privilège s'applique uniquement aux instances de base de données MariaDB exécutant la version 11.4 et supérieure.

  • show databases

  • show view

  • trigger

  • update

Pour plus d'informations sur ces privilèges, consultez Gestion des comptes d'utilisateur dans la documentation MariaDB.

Note

Bien que vous puissiez supprimer l'utilisateur principal sur une instance de base de données, il est déconseillé d'agir ainsi. Pour recréer l'utilisateur principal, utilisez le ModifyDBInstance API ou le modify-db-instance AWS CLI et spécifiez un nouveau mot de passe utilisateur principal avec le paramètre approprié. Si l'utilisateur maître n'existe pas dans l'instance, il est créé avec le mot de passe spécifié.

Pour fournir des services de gestion à chaque instance de base de données, l'utilisateur rdsadmin est créé lors de la création de l'instance de base de données. Les tentatives de supprimer, renommer et modifier le mot de passe du compte rdsadmin, ou d'en modifier les privilèges, génèrent une erreur.

Pour autoriser la gestion de l'instance de base de données, les commandes standard kill et kill_query ont fait l'objet de restrictions. Les RDS commandes Amazon mysql.rds_killmysql.rds_kill_query, et mysql.rds_kill_query_id sont fournies pour être utilisées dans MariaDB et également dans SQL My afin que vous puissiez mettre fin aux sessions utilisateur ou aux requêtes sur les instances de base de données.