- Amazon RDS - 首页
- Amazon RDS - 概述
- Amazon RDS - 环境
- Amazon RDS - 接口
- Amazon RDS - 数据库实例
- Amazon RDS - 数据库存储
- Amazon RDS - MS SQL 特性
- Amazon RDS - MS SQL 创建数据库
- Amazon RDS - MS SQL 连接数据库
- Amazon RDS - MS SQL 数据库导入导出
- Amazon RDS - MS SQL 数据库与 SSL
- Amazon RDS - MS SQL DBA 任务
- Amazon RDS - Oracle 特性
- Amazon RDS - Oracle 创建数据库
- Amazon RDS - Oracle 连接数据库
- Amazon RDS - Oracle 数据库数据导入
- Amazon RDS - Oracle DBA 任务
- Amazon RDS - MariaDB 特性
- Amazon RDS - MariaDB 创建数据库
- Amazon RDS - MariaDB 连接数据库
- Amazon RDS - MariaDB 数据导入
- Amazon RDS - PostgreSQL 特性
- Amazon RDS - PostgreSQL 创建数据库
- Amazon RDS - PostgreSQL 连接数据库
- Amazon RDS - PostgreSQL 数据导入
- Amazon RDS - MySQL 特性
- Amazon RDS - MySQL 创建数据库
- Amazon RDS - MySQL 连接数据库
- Amazon RDS - MySQL 数据库导入导出
- Amazon RDS - MySQL DBA 任务
- Amazon RDS - 多可用区部署
- Amazon RDS - 数据库快照
- Amazon RDS - 数据库监控
- Amazon RDS - 事件通知
- Amazon RDS - 数据库访问控制
Amazon RDS - 数据库访问控制
要访问 Amazon RDS 数据库实例,用户需要特定的权限。这可以通过 AWS IAM(身份和访问管理)进行配置。在本教程中,我们将了解如何完成此配置。
配置包含两个部分。
身份验证
访问控制
身份验证
这包括创建用户名、密码和为用户生成访问密钥。借助访问密钥,可以对 AWS RDS 服务进行编程访问。SDK 和 CLI 工具使用访问密钥对请求进行加密签名。
我们也可以使用 IAM 角色来验证用户身份。但是,该角色不附加到任何特定用户,而是任何用户都可以临时承担该角色并完成所需的任务。任务完成后,可以撤销该角色,用户将失去身份验证能力。
访问控制
在用户经过身份验证后,附加到该用户的策略将决定用户可以执行的任务类型。以下是一个策略示例,该策略允许在 t2.micro 实例上为 DB 引擎 MySQL 创建 RDS 数据库实例。
{
"Version": "2018-09-11",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:og:default*",
"arn:aws:rds:*:123456789012:pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
],
"Condition": {
"StringEquals": {
"rds:DatabaseEngine": "mysql",
"rds:DatabaseClass": "db.t2.micro"
}
}
}
]
}
对任何 RDS 资源的操作
在下面的示例中,我们看到一个策略,该策略允许对任何 RDS 资源执行任何描述操作。* 符号用于表示任何资源。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRDSDescribe",
"Effect":"Allow",
"Action":"rds:Describe*",
"Resource":"*"
}
]
}
禁止删除数据库实例
以下策略禁止用户删除特定数据库实例。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyDelete1",
"Effect":"Deny",
"Action":"rds:DeleteDBInstance",
"Resource":"arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance"
}
]
}
广告