Amazon 上的 MariaDB 安全性 RDS - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 上的 MariaDB 安全性 RDS

MariaDB 資料庫執行個體的安全性有三個管理層級:

  • AWS Identity and Access Management 控制誰可以在資料庫執行個體上執行 Amazon RDS管理動作。當您 AWS 使用IAM登入資料連線至 時,IAM您的帳戶必須具有授予執行 Amazon RDS管理操作所需許可IAM的政策。如需詳細資訊,請參閱Amazon RDS 的身分和存取管理

  • 當您建立資料庫執行個體時,您可以使用VPC安全群組來控制哪些裝置和 Amazon EC2執行個體可以開啟與資料庫執行個體端點和連接埠的連線。您可以使用 Secure Socket Layer (SSL) 和 Transport Layer Security () 進行這些連線TLS。此外,貴公司的防火牆規則可控管在公司內執行的裝置是否可開啟與資料庫執行個體的連線。

  • 對 MariaDB 資料庫執行個體建立連線之後,登入和許可的驗證方式就如同在 MariaDB 獨立執行個體中一樣。CREATE USERRENAME USERGRANTREVOKESET PASSWORD 等命令的運作方式如同在獨立資料庫中一樣,都會直接修改資料庫結構描述資料表。

當您建立 Amazon RDS 資料庫執行個體時,主要使用者具有下列預設權限:

  • alter

  • alter routine

  • create

  • create routine

  • create temporary tables

  • create user

  • create view

  • delete

  • drop

  • event

  • execute

  • grant option

  • index

  • insert

  • lock tables

  • process

  • references

  • reload

    此權限在 MariaDB 資料庫執行個體上受限。它不會授予對 FLUSH LOGSFLUSH TABLES WITH READ LOCK操作的存取權。

  • replication client

  • replication slave

  • select

  • show create routine

    此權限僅適用於執行 11.4 版和更新版本的 MariaDB 資料庫執行個體。

  • show databases

  • show view

  • trigger

  • update

如需這些權限的詳細資訊,請參閱 MariaDB 文件中的使用者帳戶管理

注意

雖然您可刪除資料庫執行個體上的主要使用者,但不建議這麼做。若要重新建立主要使用者,請使用 ModifyDBInstanceAPI或 modify-db-instance AWS CLI ,並使用適當的參數指定新的主要使用者密碼。若執行個體中不存在此主要使用者,系統會以指定的密碼建立主要使用者。

為了提供各資料庫執行個體管理服務,建立資料庫執行個體時,系統會一併建立 rdsadmin 使用者。若企圖移除、重新命名 rdsadmin 帳戶或變更其密碼或權限,皆會導致錯誤。

請限制使用標準 killkill_query 命令,藉此允許資料庫執行個體的管理操作。Amazon RDS命令 mysql.rds_killmysql.rds_kill_querymysql.rds_kill_query_id供 MariaDB 和 MySQL 使用,因此您可以在資料庫執行個體上結束使用者工作階段或查詢。