Sicurezza di MariaDB in Amazon RDS - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza di MariaDB in Amazon RDS

La sicurezza delle istanze database MariaDB è gestita su tre livelli:

  • AWS Identity and Access Management controlla chi è in grado di eseguire le operazioni di gestione Amazon RDS nelle istanze database. Quando esegui la connessione ad AWS usando le credenziali IAM, il tuo account IAM deve disporre di policy IAM per la concessione delle autorizzazioni richieste per eseguire le operazioni di gestione di Amazon RDS. Per ulteriori informazioni, consulta Gestione accessi e identità per Amazon RDS.

  • Quando crei un'istanza database, utilizzi un gruppo di sicurezza VPC per controllare i dispositivi e le istanze Amazon EC2 che possono aprire le connessioni all'endpoint e alla porta dell'istanza database. Queste connessioni possono essere stabilite tramite Secure Socket Layer (SSL) e Transport Layer Security (TLS). Le regole del firewall aziendale possono inoltre determinare se i dispositivi in esecuzione nell'azienda possono aprire connessioni all'istanza database.

  • Dopo la creazione di una connessione a un'istanza database MariaDB, l'autenticazione del login e le autorizzazioni sono applicate come in un'istanza autonoma di MariaDB. I comandi come CREATE USER, RENAME USER, GRANT, REVOKE e SET PASSWORD funzionano esattamente come nei database autonomi, come avviene per la modifica diretta delle tabelle dello schema del database.

Quando crei un'istanza database Amazon RDS, l'utente master ha i seguenti privilegi predefiniti:

  • alter

  • alter routine

  • create

  • create routine

  • create temporary tables

  • create user

  • create view

  • delete

  • drop

  • event

  • execute

  • grant option

  • index

  • insert

  • lock tables

  • process

  • references

  • reload

    Questo privilegio è limitato sulle istanze database di MariaDB. Non concede l’accesso alle operazioni FLUSH TABLES WITH READ LOCK o FLUSH LOGS.

  • replication client

  • replication slave

  • select

  • show create routine

    Questo privilegio è disponibile solo nelle istanze database MariaDB che eseguono la versione 11.4 e successive.

  • show databases

  • show view

  • trigger

  • update

Per ulteriori informazioni su questi privilegi, consulta User Account Management nella documentazione di MariaDB.

Nota

Sebbene sia possibile eliminare l'utente master in un'istanza database, consigliamo di non farlo. Per ricreare l'utente master, utilizza l'API ModifyDBInstance o lo modify-db-instance AWS CLIe specifica una nuova password utente master con il parametro appropriato. Se l'utente master non è presente nell'istanza, viene creato con la password specificata.

Per fornire servizi di gestione per ogni istanza database, viene creato l'utente rdsadmin al momento della creazione dell'istanza database. I tentativi di rimuovere, rinominare, cambiare la password o modificare i privilegi dell'account rdsadmin produrranno errori.

Per consentire la gestione dell'istanza database, i comandi standard kill e kill_query sono stati limitati. I comandi Amazon RDS mysql.rds_kill, mysql.rds_kill_query e mysql.rds_kill_query_id, vengono forniti per l'uso in MariaDB e anche in MySQL, per permettere di terminare le query o le sessioni utente nelle istanze database.