Настроить группы безопасности для БД RDS
В этой инструкции описано, как создать группу безопасности с правами доступа к определенным IP-адресам и портам БД RDS.
Если экземпляры ECS и БД RDS находятся в одной и той же группе безопасности, они могут взаимодействовать друг с другом по умолчанию и их не нужно настраивать.
Если экземпляр ECS и БД RDS находятся в разных группах безопасности, то настройка правил необходима:
Для экземпляра RDS: необходима настройка Inbound rule (входящее правило) группы безопасности.
Для ECS: правило группы безопасности по умолчанию разрешает все исходящие пакеты данных, поэтому нужно настроить Outbound rule (исходящее правило) группы безопасности.
Действия по настройке группы безопасности:
Для обеспечения безопасности данных и экземпляров БД рекомендуется использовать минимальное разрешение доступа, изменить порт базы данных по умолчанию 3306 и установить IP-адрес для удаленного сервера.
Если используется адрес 0.0.0.0/0, то доступ предоставляется всем экземплярам RDS DB в группе безопасности.
Войдите в консоль управления Advanced:
В списке сервисов выберите Relational Database Service.
На вкладке Instance Management выберите нужный экземпляр базы данных и нажмите на его название.
В области Connection Information нажмите на группу безопасности.
На вкладке Inbound Rules добавьте новое входящее правило, нажав Add Rule.
Установите рекомендуемые параметры:
Protocol — выберите сетевой протокол. Например, TCP.
Порт и ресурс:
Port — в этом поле укажите порт или диапазон портов, по которым трафик может достигать вашего RDS. Значение колеблется от 1024 до 65535.
Source — укажите источник для применения правила. Значением может быть группа безопасности или IP-адрес:
xxx.xxx.xxx.xxx/32 (IPv4-адрес)
xxx.xxx.xxx.0/24 (подсеть)
0.0.0.0/0 (все IP-адреса)
При подключении к экземпляру БД через частную сеть введите IP-адрес ECS и порт целевого экземпляра БД.
(Опционально) Description — дайте описание правилу группы безопасности.
Сохраните настройки, нажав OK.