访问控制
数据库账号
当用户创建实例后,RDS并不会为用户创建任何初始的数据库账号。
有如下两种方式来创建数据库帐号:
用户可以通过控制台或者Open API来创建普通数据库账号,并设置数据库级别的读写权限。
如果用户需要更细粒度的权限控制,比如表、视图,字段级别的权限,也可以通过控制台或者Open API先创建超级数据库账号,并使用数据库客户端和超级数据库账号来创建普通数据库账号。超级数据库账号可以为普通数据库账号设置表级别的读写权限。注意:通过超级数据库账号创建的普通数据库账号无法通过控制台或者Open API管理。
IP白名单
虽然RDS不支持ECS的安全组功能,但是RDS提供了“IP白名单”来实现网络安全访问控制。
默认情况下,RDS实例被设置为不允许任何IP访问,即127.0.0.1。用户可以通过控制台的数据安全性模块或者Open API 来添加IP白名单规则。IP 白名单的更新无需重启RDS实例,因此不会影响用户的使用。
IP白名单可以设置多个分组,每个分组可配置1000个IP或IP段。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
在阿里云RDS(关系型数据库服务)中,管理数据库账号和设置IP白名单是确保数据库安全访问的两个关键步骤。下面是对您提供信息的进一步解释和补充:
数据库账号创建
-
普通数据库账号:这是为日常数据库操作设计的账号类型,适用于需要对特定数据库进行读写操作的场景。通过阿里云控制台或Open API,您可以创建这类账号,并为其分配针对不同数据库的读、写权限。如果您的需求仅限于数据库级别的权限控制,使用普通账号即可满足。
-
超级数据库账号:当您需要更细致的权限管理,比如对表、视图或字段级别进行权限设置时,可以创建一个超级数据库账号。超级账号拥有更广泛的权限,能够创建其他普通账号并为它们配置更细粒度的权限。需要注意的是,通过超级账号创建的普通账号无法直接通过控制台或Open API进行管理,您可能需要借助数据库客户端工具来完成这部分管理任务。
IP白名单设置
-
默认设置与安全性:新创建的RDS实例,默认只允许本地回环地址(127.0.0.1)访问,这意味着初始状态下外部任何IP都无法连接到数据库,这是一项重要的安全措施。
-
添加IP白名单:为了使特定的外部IP能够访问RDS实例,您需要通过控制台的数据安全性模块手动添加这些IP到白名单中。支持单个IP地址或IP段的添加,每个白名单分组最多可配置1000条规则,足够覆盖大多数应用场景的需求。
-
即时生效与灵活性:更新IP白名单的操作无需重启RDS实例,修改后立即生效,这样既保证了数据库的安全性,又不会因为配置变更而中断服务,提高了运维的灵活性和效率。
综上所述,合理配置数据库账号和管理IP白名单对于保障阿里云RDS实例的安全性和高效运维至关重要。通过精细的权限管理和严格的网络访问控制,您可以有效地保护数据库资源免受未授权访问的风险。
