Настроить группы безопасности для БД RDS
В этой инструкции описано, как создать группу безопасности с правами доступа к определенным IP-адресам и портам БД RDS.
-
Если экземпляры ECS и БД RDS находятся в одной и той же группе безопасности, они могут взаимодействовать друг с другом по умолчанию и их не нужно настраивать.
-
Если экземпляр ECS и БД RDS находятся в разных группах безопасности, то настройка правил необходима:
-
Для экземпляра RDS: необходима настройка Inbound rule (входящее правило) группы безопасности.
-
Для ECS: правило группы безопасности по умолчанию разрешает все исходящие пакеты данных, поэтому нужно настроить Outbound rule (исходящее правило) группы безопасности.
-
Действия по настройке группы безопасности:
Для обеспечения безопасности данных и экземпляров БД рекомендуется использовать минимальное разрешение доступа, изменить порт базы данных по умолчанию 3306 и установить IP-адрес для удаленного сервера.
Если используется адрес 0.0.0.0/0, то доступ предоставляется всем экземплярам RDS DB в группе безопасности.
-
Войдите в консоль управления Advanced:
-
В списке сервисов выберите Relational Database Service.
-
На вкладке Instance Management выберите нужный экземпляр базы данных и нажмите на его название.
-
В области Connection Information нажмите на группу безопасности.
-
На вкладке Inbound Rules добавьте новое входящее правило, нажав Add Rule.
-
Установите рекомендуемые параметры:
-
Protocol — выберите сетевой протокол. Например, TCP.
-
Порт и ресурс:
Port — в этом поле укажите порт или диапазон портов, по которым трафик может достигать вашего RDS. Значение колеблется от 1024 до 65535.
Source — укажите источник для применения правила. Значением может быть группа безопасности или IP-адрес:
-
xxx.xxx.xxx.xxx/32 (IPv4-адрес)
-
xxx.xxx.xxx.0/24 (подсеть)
-
0.0.0.0/0 (все IP-адреса)
-
При подключении к экземпляру БД через частную сеть введите IP-адрес ECS и порт целевого экземпляра БД.
-
(Опционально) Description — дайте описание правилу группы безопасности.
-
-
Сохраните настройки, нажав OK.