Protezione delle connessioni di istanze database MySQL - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione delle connessioni di istanze database MySQL

È possibile implementare solide misure di sicurezza per proteggere le istanze database MySQL da accessi non autorizzati e potenziali minacce. I gruppi di sicurezza, la crittografia SSL/TLS e l'autenticazione del database IAM collaborano per creare più livelli di sicurezza della connessione per le istanze DB MySQL. Questi controlli di sicurezza aiutano a soddisfare i requisiti di conformità, prevenire le violazioni dei dati e mantenere canali di comunicazione sicuri tra applicazioni e database. Puoi proteggere le tue istanze DB MySQL crittografando i dati in transito, limitando l'accesso a intervalli IP specifici e gestendo l'autenticazione degli utenti tramite ruoli IAM anziché password del database.

La sicurezza delle istanze database MySQL viene gestita su tre livelli:

  • AWS Identity and Access Management controlla chi può eseguire azioni di gestione di Amazon RDS sulle istanze DB. Quando ti connetti AWS utilizzando le credenziali IAM, il tuo account IAM deve disporre di policy IAM che concedano le autorizzazioni necessarie per eseguire le operazioni di gestione di Amazon RDS. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon RDS.

  • Quando crei un'istanza DB, utilizzi un gruppo di sicurezza VPC per controllare quali dispositivi e EC2 istanze Amazon possono aprire connessioni all'endpoint e alla porta dell'istanza DB. Queste connessioni possono essere stabilite tramite Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Le regole del firewall aziendale possono inoltre determinare se i dispositivi in esecuzione nell'azienda possono aprire connessioni all'istanza database.

  • Per autenticare l'accesso e le autorizzazioni per un'istanza DB MySQL, puoi adottare uno dei seguenti approcci o una combinazione di essi:

    • Puoi adottare lo stesso approccio utilizzato per un'istanza standalone di MySQL. I comandi come CREATE USER, RENAME USER, GRANT, REVOKE e SET PASSWORD funzionano esattamente come nei database in locale, modificando direttamente le tabelle dello schema del database. Tuttavia, la modifica diretta delle tabelle dello schema del database non è una procedura consigliata e, a partire dalla versione 8.0.36 di RDS for MySQL, non è supportata. Per ulteriori informazioni, consulta Access Control and Account Management nella documentazione MySQL.

    • Puoi anche utilizzare l'autenticazione database IAM. Questo metodo prevede l'autenticazione nell'istanza database tramite un utente IAM oppure con un ruolo IAM e un token di autenticazione. Il token di autenticazione è un valore univoco, generato tramite il processo di firma Signature Version 4. Quando utilizzi l'autenticazione database IAM, puoi utilizzare le stesse credenziali per controllare l'accesso alle risorse AWS e ai database. Per ulteriori informazioni, consulta Autenticazione del database IAM per MariaDB, MySQL e PostgreSQL.

    • Un'altra opzione è l'autenticazione Kerberos per RDS per MySQL. L'istanza DB funziona con AWS Directory Service for Microsoft Active Directory ()AWS Managed Microsoft AD per abilitare l'autenticazione Kerberos. Quando gli utenti si autenticano con un'istanza database MySQL DB unita al dominio trusting, vengono inoltrate le richieste di autenticazione. Le richieste inoltrate vanno alla directory del dominio con cui crei. AWS Directory Service Per ulteriori informazioni, consulta Utilizzo Kerberos autenticazione per Amazon RDS for My SQL.

Quando crei un'istanza database Amazon RDS, l'utente master ha i seguenti privilegi predefiniti:

Versione del motore Privilegio del sistema Ruolo di database

RDS per MySQL versione 8.4.3 e successive

GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES,INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE ROLE, DROP ROLE, APPLICATION_PASSWORD_ADMIN, FLUSH_OPTIMIZER_COSTS, FLUSH_PRIVILEGES, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES, ROLE_ADMIN, SENSITIVE_VARIABLES_OBSERVER, SESSION_VARIABLES_ADMIN, SET_ANY_DEFINER, SHOW_ROUTINE, XA_RECOVER_ADMIN

rds_superuser_role

Per ulteriori informazioni su rds_superuser_role, consulta Modello di privilegi basato sui ruoli per for My RDS SQL.

RDS per MySQL versione 8.0.36 e successive

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE ROLE, DROP ROLE, APPLICATION_PASSWORD_ADMIN, ROLE_ADMIN, SET_USER_ID, XA_RECOVER_ADMIN

rds_superuser_role

Per ulteriori informazioni su rds_superuser_role, consulta Modello di privilegi basato sui ruoli per for My RDS SQL.

Versioni RDS per MySQL precedenti alla 8.0.36

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, REPLICATION SLAVE

Nessuno
Nota

È possibile eliminare l'utente master nell'istanza database, ma non è consigliato farlo. Per ricreare l'utente principale, utilizza l'operazione Modify DBInstance RDS API o esegui il modify-db-instance AWS CLI comando e specifica una nuova password per l'utente principale con il parametro appropriato. Se l'utente master non è presente nell'istanza, viene creato con la password specificata.

Per fornire servizi di gestione per ogni istanza database, viene creato l'utente rdsadmin al momento della creazione dell'istanza database. I tentativi di rimuovere l'account rdsadmin, assegnargli un nuovo nome, modificarne la password o modificarne i privilegi genereranno un errore.

Per consentire la gestione dell'istanza database, i comandi standard kill e kill_query sono stati limitati. Vengono forniti i comandi Amazon RDS rds_kill e rds_kill_query per permettere di terminare le sessioni utente o le query nelle istanze database.