Amazon Aurora MySQL 的安全性

Amazon Aurora MySQL 的安全性是以三個層級來管理：

在下列各節中，請參閱 Aurora MySQL 的使用者許可以及使用 Aurora MySQL 資料庫叢集進行 TLS 連線的相關資訊。

Amazon Aurora MySQL 的主要使用者權限

在您建立 Amazon Aurora MySQL 資料庫執行個體後，主要使用者具有 主要使用者帳戶權限 中列出的預設權限：

若要為每個資料庫叢集提供管理服務，建立資料庫執行個體時，系統會一併建立 admin 和 rdsadmin 使用者。若企圖移除、重新命名 rdsadmin 帳戶或變更其密碼或權限，皆會導致發生錯誤。

在 Aurora MySQL 第 2 版資料庫叢集中，admin 和 rdsadmin 使用者會在建立資料庫叢集時一併建立。在 Aurora MySQL 第 3 版資料庫叢集中，會建立 admin、rdsadmin 和 rds_superuser_role 使用者。

在管理 Aurora MySQL 資料庫叢集時，標準 kill 與 kill_query 命令均限制使用。請改用 Amazon RDS 命令 rds_kill 與 rds_kill_query，以終止 Aurora MySQL 資料庫執行個體上的使用者工作階段或查詢。

Aurora MySQL 資料庫叢集的 TLS 連線

如果應用程式使用與 RDS for MySQL 資料庫執行個體相同的程序和公有金鑰，Amazon Aurora MySQL 資料庫叢集支援來自這些應用程式的 Transport Layer Security (TLS) 連線。

在 Amazon RDS​ 佈建執行個體時，Amazon RDS​ 會建立 TLS 憑證，並將該憑證安裝在資料庫執行個體上。憑證由憑證授權機構簽署。TLS 憑證會以一般名稱 (CN) 納入資料庫執行個體端點，讓 TLS 憑證免於詐騙攻擊。因此，只有當您的用戶端支援主體別名 (SAN) 時，您才能透過 TLS 使用資料庫叢集端點以連線至資料庫叢集。否則，您必須使用寫入器執行個體的執行個體端點。

如需有關下載憑證的詳細資訊，請參閱使用 SSL/TLS 來加密資料庫叢集的連線。

我們建議 AWS JDBC 驅動程式作為支援 SAN 與 TLS 的用户端。如需有關 AWS JDBC 驅動程式以及完整使用指示的詳細資訊，請參閱 Amazon Web Services (AWS) JDBC 驅動程式 GitHub 儲存庫。

需要以 TLS 連線至 Aurora MySQL 資料庫叢集

您可以要求連線至 Aurora MySQL 資料庫叢集的所有使用者，藉由使用 require_secure_transport 資料庫叢集參數，來使用 TLS。依預設，require_secure_transport 參數設為 OFF。您可以將 require_secure_transport 參數設為 ON，以要求對資料庫叢集的連線使用 TLS。

您可以更新資料庫叢集的資料庫叢集參數群組，以設定 require_secure_transport 參數值。您不需要重新啟動資料庫叢集，變更即可生效。如需參數群組的詳細資訊，請參閱Amazon Aurora 的參數群組。

當資料庫叢集的 require_secure_transport 參數設為 ON 時，如果可以建立加密的連線，則資料庫用戶端即可連線到該資料庫叢集。否則，類似下列內容的錯誤訊息會傳回至用戶端：

MySQL Error 3159 (HY000): Connections using insecure transport are prohibited while --require_secure_transport=ON.

適用於 Aurora MySQL 的 TLS 版本

Aurora MySQL 支援 Transport Layer Security (TLS) 1.0、1.1、1.2 和 1.3 版。從 Aurora MySQL 3.04.0 及更新版本開始，您可以使用 TLS 1.3 通訊協定來保護您的連線。下表顯示 Aurora MySQL 版本的 TLS 支援。

您可以使用 tls_version 資料庫叢集參數來指示允許的通訊協定版本。大多數用戶端工具或資料庫驅動程式都有類似的用戶端參數 某些較舊的用戶端可能不支援較新的 TLS 版本。預設情況下，資料庫叢集會嘗試使用伺服器和用戶端配置允許的最高 TLS 通訊協定版本。

將 tls_version 資料庫叢集參數設定為下值之一：

您也可以設定 tls_version 參數作為逗號分隔的字符串列表。如果您想要同時使用 TLS 1.2 和 TLS 1.3 通訊協定，tls_version 參數必須包括從最低到最高協議的所有協議。在這種情況下，tls_version 設定為：

tls_version=TLSv1.2,TLSv1.3

如需修改資料庫叢集參數群組中的參數之相關資訊，請參閱 在 Amazon Aurora 中修改資料庫叢集參數群組中的參數。如果您使用 AWS CLI 來修改 tls_version 資料庫叢集參數，ApplyMethod 必須設定為 pending-reboot。當套用方法是 pending-reboot，在停止並重新啟動與參數群組相關聯的資料庫叢集之後，都會套用至參數變更。

為 Aurora MySQL 資料庫叢集的連線設定密碼套件

透過使用可設定的密碼套件，您可以更進一步控制資料庫連線的安全性。您可以指定要允許的密碼套件清單，以保護您資料庫的用戶端 TLS 連線安全。您可以使用可設定的密碼套件來控制資料庫伺服器接受的連線加密。這樣做可避免使用不安全或已作廢的密碼。

Aurora MySQL 3 版和 Aurora MySQL 2 版支援可設定的密碼套件。要指定用於加密連線的許可 TLS 1.2、TLS 1.1、TLS 1.0 密碼列表，請修改 ssl_cipher 叢集參數。在使用 AWS Management Console、AWS CLI 或 RDS API 的叢集參數群組中設定 ssl_cipher 參數。

將 ssl_cipher 參數設定為 TLS 版本以逗號分隔的密碼值字串。對於用戶端應用程式，您可在連線至資料庫時使用 --ssl-cipher 選項指定用於加密連線的密碼套件。如需有關連線至資料庫的詳細資訊，請參閱 連接至 Amazon Aurora MySQL 資料庫叢集。

從 Aurora MySQL 3.04.0 及更新版本開始，您可以指定 TLS 1.3 加密套件。若要指定許可的 TLS 1.3 加密套件，請修改 tls_ciphersuites 參數群組中的參數。TLS 1.3 已減少可用加密套件的數量，因為命名慣例中的變更會移除金鑰交換機制和使用的憑證。將 tls_ciphersuites 設定為以逗號分隔的 TLS 1.3 密碼值字串。

下表顯示支援的密碼及 TLS 加密通訊協定，及每個密碼的有效 Aurora MySQL 引擎版本。

如需修改資料庫叢集參數群組中的參數之相關資訊，請參閱 在 Amazon Aurora 中修改資料庫叢集參數群組中的參數。若您使用 CLI 修改 ssl_cipher 資料庫叢集參數，請務必將 ApplyMethod 設定為 pending-reboot。當套用方法是 pending-reboot，在停止並重新啟動與參數群組相關聯的資料庫叢集之後，都會套用至參數變更。

您也可以使用 describe-engine-default-cluster-parameters CLI 命令決定特定參數群組系列目前支援哪些密碼套件。下列範例顯示如何取得適用於 Aurora MySQL 第 2 版的 ssl_cipher 叢集參數允許值。

aws rds describe-engine-default-cluster-parameters --db-parameter-group-family aurora-mysql5.7

        ...some output truncated...
	{
        "ParameterName": "ssl_cipher",
        "ParameterValue": "ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-CHACHA20-POLY1305,ECDHE-ECDSA-AES256-SHA,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-SHA",
        "Description": "The list of permissible ciphers for connection encryption.",
        "Source": "system",
        "ApplyType": "static",
        "DataType": "list",
        "AllowedValues": "ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-CHACHA20-POLY1305,ECDHE-ECDSA-AES256-SHA,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-SHA",
        "IsModifiable": true,
        "SupportedEngineModes": [
            "provisioned"
        ]
    },
       ...some output truncated...

如需有關密碼的詳細資訊，請參閱 MySQL 文件中的 ssl_cipher 變數。如需有關密碼套件格式的詳細資訊，請在 OpenSSL 網站上參閱 openssl-ciphers 列表格式和 openssl-ciphers 字串格式文件。

加密 Aurora MySQL 資料庫叢集的連線

如要使用預設的 mysql 用戶端來加密連線，請使用 --ssl-ca 參數公有金鑰，以啟動 mysql 用戶端，例如：

MySQL 5.7 和 8.0 適用：

mysql -h myinstance.123456789012.rds-us-east-1.amazonaws.com
--ssl-ca=full_path_to_CA_certificate --ssl-mode=VERIFY_IDENTITY

MySQL 5.6 適用：

mysql -h myinstance.123456789012.rds-us-east-1.amazonaws.com
--ssl-ca=full_path_to_CA_certificate --ssl-verify-server-cert

用憑證授權單位 (CA) 憑證的完整路徑取代 full_path_to_CA_certificate。如需有關下載憑證的資訊，請參閱 使用 SSL/TLS 來加密資料庫叢集的連線。

您可以要求特定使用者帳戶使用 TLS 連線。例如，您可以根據 MySQL 版本，使用下列任一陳述式，要求使用者帳戶 encrypted_user 使用 TLS 連線。

MySQL 5.7 和 8.0 適用：

ALTER USER 'encrypted_user'@'%' REQUIRE SSL;            

MySQL 5.6 適用：

GRANT USAGE ON *.* TO 'encrypted_user'@'%' REQUIRE SSL;

使用 RDS Proxy 時，您會連線到代理端點，而不是一般叢集端點。您可以使用直接連線到 Aurora 資料庫叢集一樣的方式，將 SSL/TLS 做為連線至代理的必要或選用條件。如需有關使用 RDS Proxy 的資訊，請參閱 Amazon RDS Proxy for Aurora。