Amazon RDS 上的 MariaDB 安全性 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon RDS 上的 MariaDB 安全性

MariaDB 資料庫執行個體的安全性有三個管理層級:

  • AWS Identity and Access Management 會控管能在資料庫執行個體上執行 Amazon RDS 管理動作的對象。當您使用 IAM 登入資料連線至 AWS 時,IAM 帳戶必須具備能授予所需許可的 IAM 政策,才能執行 Amazon RDS 管理操作。如需更多詳細資訊,請參閱 Amazon RDS 的 Identity and access management

  • 建立資料庫執行個體時,您可使用 VPC 安全群組控管哪些裝置和 Amazon EC2 執行個體可以開啟與端點和資料庫執行個體連接埠的連線。您可以使用 Secure Sockets Layer (SSL) 和 Transport Layer Security (TLS) 建立這些連線。此外,貴公司的防火牆規則可控管在公司內執行的裝置是否可開啟與資料庫執行個體的連線。

  • 對 MariaDB 資料庫執行個體建立連線之後,登入和許可的驗證方式就如同在 MariaDB 獨立執行個體中一樣。CREATE USERRENAME USERGRANTREVOKESET PASSWORD 等命令的運作方式如同在獨立資料庫中一樣,都會直接修改資料庫結構描述資料表。

在您建立 Amazon RDS 資料庫執行個體後,主要使用者具有下列預設權限:

  • alter

  • alter routine

  • create

  • create routine

  • create temporary tables

  • create user

  • create view

  • delete

  • drop

  • event

  • execute

  • grant option

  • index

  • insert

  • lock tables

  • process

  • references

  • reload

    此權限在 MariaDB 資料庫執行個體上受限。它不會授予 FLUSH LOGSFLUSH TABLES WITH READ LOCK 操作的存取權。

  • replication client

  • replication slave

  • select

  • show create routine

    此權限僅適用於執行 11.4 版和更新版本的 MariaDB 資料庫執行個體。

  • show databases

  • show view

  • trigger

  • update

如需這些權限的詳細資訊,請參閱 MariaDB 文件中的使用者帳戶管理

注意

雖然您可刪除資料庫執行個體上的主要使用者,但不建議這麼做。若要重新建立主要使用者,請使用 ModifyDBInstance API 或 modify-db-instance AWS CLI,並以適當的參數指定新的主要使用者密碼。若執行個體中不存在此主要使用者,系統會以指定的密碼建立主要使用者。

為了提供各資料庫執行個體管理服務,建立資料庫執行個體時,系統會一併建立 rdsadmin 使用者。若企圖移除、重新命名 rdsadmin 帳戶或變更其密碼或權限,皆會導致錯誤。

請限制使用標準 killkill_query 命令,藉此允許資料庫執行個體的管理操作。此外,本服務還提供適用於 MariaDB 及 MySQL 的 Amazon RDS 命令 mysql.rds_killmysql.rds_kill_querymysql.rds_kill_query_id,讓您能結束資料庫執行個體上的使用者工作階段或查詢。