Protezione delle connessioni di istanze database MySQL - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione delle connessioni di istanze database MySQL

È possibile implementare solide misure di sicurezza per proteggere le istanze database MySQL da accessi non autorizzati e potenziali minacce. I gruppi di sicurezza, la crittografia SSL/TLS e l’autenticazione del database IAM collaborano per creare più livelli di sicurezza della connessione per le istanze database MySQL. Questi controlli di sicurezza aiutano a soddisfare i requisiti di conformità, prevenire violazioni dei dati e mantenere canali di comunicazione sicuri tra applicazioni e database. Puoi proteggere le istanze database MySQL crittografando i dati in transito, limitando l’accesso a intervalli IP specifici e gestendo l’autenticazione degli utenti tramite ruoli IAM anziché password del database.

La sicurezza delle istanze database MySQL viene gestita su tre livelli:

  • AWS Identity and Access Management controlla chi è in grado di eseguire le operazioni di gestione Amazon RDS nelle istanze database. Quando esegui la connessione ad AWS usando le credenziali IAM, il tuo account IAM deve disporre di policy IAM per la concessione delle autorizzazioni richieste per eseguire le operazioni di gestione di Amazon RDS. Per ulteriori informazioni, consulta Gestione accessi e identità per Amazon RDS.

  • Quando crei un'istanza database, utilizzi un gruppo di sicurezza VPC per controllare i dispositivi e le istanze Amazon EC2 che possono aprire le connessioni all'endpoint e alla porta dell'istanza database. Queste connessioni possono essere stabilite tramite Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Le regole del firewall aziendale possono inoltre determinare se i dispositivi in esecuzione nell'azienda possono aprire connessioni all'istanza database.

  • Per autenticare l’accesso e le autorizzazioni per un’istanza database MySQL puoi seguire uno degli approcci riportati di seguito oppure utilizzare una loro combinazione:

    • Puoi adottare lo stesso approccio utilizzato per un'istanza standalone di MySQL. I comandi come CREATE USER, RENAME USER, GRANT, REVOKE e SET PASSWORD funzionano esattamente come nei database in locale, modificando direttamente le tabelle dello schema del database. Tuttavia, la modifica diretta delle tabelle dello schema del database non è una procedura consigliata e, a partire dalla versione 8.0.36 di RDS per MySQL, non è supportata. Per ulteriori informazioni, consulta Access Control and Account Management nella documentazione MySQL.

    • Puoi anche utilizzare l'autenticazione database IAM. Questo metodo prevede l'autenticazione nell'istanza database tramite un utente IAM oppure con un ruolo IAM e un token di autenticazione. Il token di autenticazione è un valore univoco, generato tramite il processo di firma Signature Version 4. Quando utilizzi l'autenticazione database IAM, puoi utilizzare le stesse credenziali per controllare l'accesso alle risorse AWS e ai database. Per ulteriori informazioni, consulta Autenticazione del database IAM per MariaDB, MySQL e PostgreSQL.

    • Un'altra opzione è l'autenticazione Kerberos per RDS per MySQL. L'istanza database funziona con AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) per abilitare l'autenticazione Kerberos. Quando gli utenti si autenticano con un'istanza database MySQL DB unita al dominio trusting, vengono inoltrate le richieste di autenticazione. Le richieste inoltrate vanno alla directory di dominio creata con Directory Service. Per ulteriori informazioni, consulta Utilizzo dell’autenticazione Kerberos per Amazon RDS per MySQL.

Quando crei un'istanza database Amazon RDS, l'utente master ha i seguenti privilegi predefiniti:

Versione del motore Privilegio del sistema Ruolo di database

RDS per MySQL versione 8.4.3 e successive

GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES,INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE ROLE, DROP ROLE, APPLICATION_PASSWORD_ADMIN, FLUSH_OPTIMIZER_COSTS, FLUSH_PRIVILEGES, FLUSH_STATUS, FLUSH_TABLES, FLUSH_USER_RESOURCES, ROLE_ADMIN, SENSITIVE_VARIABLES_OBSERVER, SESSION_VARIABLES_ADMIN, SET_ANY_DEFINER, SHOW_ROUTINE, XA_RECOVER_ADMIN

rds_superuser_role

Per ulteriori informazioni su rds_superuser_role, consulta Privilegio basato sui ruoli per RDS per MySQL.

RDS per MySQL versione 8.0.36 e successive

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION SLAVE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, CREATE ROLE, DROP ROLE, APPLICATION_PASSWORD_ADMIN, ROLE_ADMIN, SET_USER_ID, XA_RECOVER_ADMIN

rds_superuser_role

Per ulteriori informazioni su rds_superuser_role, consulta Privilegio basato sui ruoli per RDS per MySQL.

RDS per MySQL versioni precedenti alla 8.0.36

SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, RELOAD, PROCESS, REFERENCES, INDEX, ALTER, SHOW DATABASES, CREATE TEMPORARY TABLES, LOCK TABLES, EXECUTE, REPLICATION CLIENT, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, CREATE USER, EVENT, TRIGGER, REPLICATION SLAVE

Nessuno
Nota

È possibile eliminare l'utente master nell'istanza database, ma non è consigliato farlo. Per ricreare l’utente master, utilizza l’operazione ModifyDBInstance dell’API RDS o esegui il comando modify-db-instance della AWS CLI e specifica una nuova password utente master con il parametro appropriato. Se l'utente master non è presente nell'istanza, viene creato con la password specificata.

Per fornire servizi di gestione per ogni istanza database, viene creato l'utente rdsadmin al momento della creazione dell'istanza database. I tentativi di rimuovere l'account rdsadmin, assegnargli un nuovo nome, modificarne la password o modificarne i privilegi genereranno un errore.

Per consentire la gestione dell'istanza database, i comandi standard kill e kill_query sono stati limitati. Vengono forniti i comandi Amazon RDS rds_kill e rds_kill_query per permettere di terminare le sessioni utente o le query nelle istanze database.