AWS Study Group

Kết nối một cách an toàn với Amazon RDS cho PostgreSQL bằng AWS Session Manager và xác thực IAM

bởi Adria Morgado và Alan Oberto Jimenez | vào ngày 22 THÁNG 12 NĂM 2023 |

Các chính sách của công ty thường không cho phép các trường hợp cơ sở dữ liệu có điểm cuối công cộng trừ khi có yêu cầu kinh doanh cụ thể. Mặc dù điều đó bảo vệ các tài nguyên đó khỏi truy cập công cộng qua internet, nhưng cũng giới hạn cách người dùng có thể kết nối đến chúng từ máy tính của họ.

Thường xuyên, các quản trị viên cơ sở dữ liệu và nhóm phát triển cố gắng vượt qua hạn chế đó bằng cách sử dụng một máy chủ pháo đài có thể nhận yêu cầu qua internet và chuyển tiếp chúng một cách an toàn đến một cơ sở dữ liệu được lưu trữ trong các mạng con riêng tư.

Tuy nhiên, cách tiếp cận đó có hai điểm yếu lớn:

  • Tăng bề mặt tấn công tiềm ẩn cho các hoạt động độc hại khi một máy chủ được tiếp xúc với internet công cộng
  • Giới thiệu nhu cầu lưu trữ và duy trì các khóa SSH

Ngoài ra, người dùng cơ sở dữ liệu cũng phải chịu gánh nặng của việc quản lý tên người dùng và mật khẩu cho xác thực cơ sở dữ liệu, điều này cũng tăng nguy cơ bảo mật.

Trong bài viết này, chúng tôi sẽ hướng dẫn bạn qua một giải pháp mang lại nhiều ưu điểm hơn so với các phương pháp kết nối cơ sở dữ liệu truyền thống, mang lại cả tính bảo mật nâng cao và quản lý mạng và truy cập đơn giản hóa.

Chúng tôi sẽ chỉ ra các bước cần thiết để kết nối từ máy cục bộ của bạn đến trường hợp Amazon Relational Database Service (Amazon RDS) của bạn bằng cách sử dụng Session Manager với chuyển tiếp cổng đến một máy chủ từ xa, một khả năng của AWS Systems Manager, và xác thực IAM.

Yêu cầu tiên quyết

Đối với bài viết này, chúng tôi sử dụng một cửa sổ terminal để khởi tạo các phiên từ xa.

Bạn cần có các công cụ và dịch vụ sau:

  • Giao diện dòng lệnh AWS (AWS CLI)
  • Truy cập vào Bảng điều khiển quản lý AWS
  • Plugin Session Manager đã được cài đặt cục bộ trên máy tính để bàn hoặc máy tính xách tay của bạn
  • Tùy thuộc vào loại công cụ cơ sở dữ liệu bạn chọn, bạn cần một trong các khách hàng sau: MySQL (cho MySQL và MariaDB) hoặc psql (PostgreSQL)
  • Một người dùng IAM với quyền truy cập theo chương trình vào tài khoản AWS của bạn
  • Một VPC hiện có thông qua Mạng riêng ảo Amazon (Amazon VPC) với các mạng con riêng tư
  • Một trường hợp RDS hiện có và nhóm bảo mật cơ sở dữ liệu (trong bài viết này, chúng tôi sử dụng Amazon RDS cho PostgreSQL, nhưng giải pháp cũng hoạt động cho các động cơ RDS khác)
  • Truy cập vào Systems Manager
  • Cấu hình các điểm cuối VPC cho các cuộc gọi API Systems Manager (để biết thêm thông tin, tham khảo Tạo điểm cuối VPC)

Lợi ích của việc sử dụng Xác thực Cơ sở dữ liệu IAM và Session Manager

Bằng cách tận dụng Xác thực Cơ sở dữ liệu IAM, người dùng cuối có thể kết nối vào cơ sở dữ liệu của bạn bằng các thực thể IAM, thay vì sử dụng các thông tin đăng nhập cơ sở dữ liệu riêng lẻ. Điều này có nghĩa là bạn có thể quản lý quyền truy cập vào tài nguyên Amazon RDS của mình bằng cách sử dụng các chính sách IAM và cấp hoặc thu hồi quyền cho người dùng cụ thể hoặc nhóm khi cần thiết, mà không cần phải sửa đổi tài khoản người dùng hoặc mật khẩu cấp độ cơ sở dữ liệu. Tính linh hoạt này đặc biệt quan trọng trong các môi trường động nơi yêu cầu truy cập thay đổi thường xuyên. Với Bộ quản lý Phiên, một dịch vụ AWS được quản lý đầy đủ giúp quản lý các thực thể mà không cần mở bất kỳ cổng truy cập nào, bạn có thể thiết lập một kết nối an toàn đến trường hợp RDS của bạn mà không cần phải tiếp xúc trực tiếp với internet công cộng.

Bộ quản lý Phiên với chuyển tiếp cổng cho phép bạn tạo một kết nối an toàn, mã hóa dữ liệu giao thông giữa máy tính cục bộ của bạn và trường hợp RDS. Điều này giảm bề mặt tấn công của cơ sở dữ liệu của bạn và giúp ngăn chặn truy cập không được ủy quyền đến nó.

Một lợi ích khác của việc sử dụng xác thực IAM và  Session Manager là sự quản lý và kiểm tra tập trung mà nó mang lại. Xác thực IAM cho phép bạn có một hệ thống quản lý người dùng hoặc vai trò IAM trung tâm, giúp dễ dàng quản lý và kiểm tra quyền truy cập của người dùng vào các cơ sở dữ liệu RDS của bạn. Bạn có thể theo dõi ai và khi nào cơ sở dữ liệu đã được truy cập và các hành động nào đã được thực hiện.

Session Manager cũng cung cấp cho bạn khả năng kiểm tra hoạt động phiên trong tài khoản AWS của bạn.

Cách tiếp cận tập trung này cải thiện tính bảo mật và đơn giản hóa yêu cầu tuân thủ.

Cách kết nối với phiên bản RDS của bạn bằng Session Manager

Là một thực tiễn tốt nhất cho bảo mật ở mức mạng, chúng tôi khuyến nghị triển khai các trường hợp của bạn RDS trong các mạng con riêng tư và chỉ cho phép truy cập từ các ứng dụng trong cùng một VPC hoặc một VPC khác.

Để cho phép người dùng truy cập vào các tài nguyên bị hạn chế này, cần phải có một máy chủ bastion mà thông qua đó người dùng kết nối để truy cập vào cơ sở dữ liệu. Tuy nhiên, việc cấp quyền truy cập cho các máy chủ bastion này đôi khi đòi hỏi phải tiếp xúc trực tiếp với internet, vì chúng cần phải được đặt trong một mạng con công cộng, hoặc các cấu trúc mạng phức tạp để giao thông có thể được định tuyến từ các nơi khác, sử dụng các dịch vụ như AWS Direct Connect hoặc một VPN.

Session Manager với chuyển tiếp cổng từ xa loại bỏ nhu cầu kết nối trực tiếp với máy chủ bastion hoặc cơ sở dữ liệu, trong khi vẫn giữ nguyên các khía cạnh bảo mật.

Biểu đồ sau giải thích các thành phần liên quan đến kiến trúc và các bước cần thiết để thiết lập kết nối.

Các giai đoạn khác nhau của quy trình là như sau:

  1. Bắt đầu một phiên Session Manager đến một trong các máy ảo Amazon Elastic Compute Cloud (Amazon EC2) được quản lý bởi AWS Systems Manager bằng cách sử dụng tài liệu AWS-StartPortForwardingSessionToRemoteHost và các thông tin xác thực AWS thuộc sở hữu của người dùng.
  2. Agenty SSM chạy trên các máy ảo được quản lý bởi SSM xử lý yêu cầu của người dùng từ Systems Manager. Việc giao tiếp này có thể thông qua các điểm cuối VPC SSM được cấu hình cho mục đích đó.
  3. Kết nối chuyển tiếp cổng được thiết lập và người dùng có thể mở một cửa sổ terminal mới và gửi bất kỳ lệnh nào đến máy chủ từ xa thông qua đường hầm đã thiết lập.
  4. Người dùng gọi Amazon RDS để tạo mã thông báo xác thực cơ sở dữ liệu bằng cách sử dụng các thông tin xác thực IAM của mình.
  5. Người dùng kết nối đến cơ sở dữ liệu thông qua đường hầm bằng mã thông báo xác thực cơ sở dữ liệu trước đó được tạo bởi Amazon RDS.

Thiết lập ban đầu

Trong phần này, chúng tôi sẽ hướng dẫn bạn qua các bước thiết lập ban đầu.

Tạo security group cho máy ảo EC2

Để tạo security group của bạn, hãy hoàn tất các bước sau:

  1. Trên bảng điều khiển Amazon EC2, chọn Security groups trong bảng điều khiển điều hướng.
  2. Chọn Create security group.
  3. Nhập tên và mô tả cho security group của bạn.
  4. Đối với VPC, nhập VPC của bạn.
  1. Trong phần Outbound rules, cho phép truy cập vào cổng PostgreSQL (5432).
  2. Để máy ảo EC2 có thể giao tiếp với các giao diện điểm cuối VPC SSM, cũng cần phải kích hoạt lưu lượng ra từ cổng 443 (HTTPS).

Trong cả hai quy tắc, thêm dải CIDR của VPC của bạn làm điểm đến.

  1. Chọn Create security group.

Tạo vai trò IAM cho máy ảo EC2

Bây giờ chúng ta tạo vai trò IAM cho máy ảo EC2:

  1. Trên bảng điều khiển IAM, chọn Roles trong bảng điều khiển điều hướng.
  2. Chọn Create role.
  3. Chọn AWS service cho Trusted entity type.
  4. Chọn EC2 cho Common use cases.
  1. Chọn Next.
  2. Trong phần Add permissions, chọn chính sách AmazonSSMManagedInstanceCore.
  3. Chọn Next.
  4. Nhập tên cho vai trò, mô tả ngắn và nếu cần thiết, thêm bất kỳ thẻ nào cần thiết. Trong bài viết này, chúng ta sẽ sử dụng EC2-RDS-AccessRole làm tên vai trò.
  1. Chọn Create role.

Tạo máy ảo EC2 (bastion host)

Để cung cấp máy ảo EC2 của bạn, hoàn thành các bước sau:

  1. Trên bảng điều khiển Amazon EC2, chọn Launch instances trong bảng điều khiển điều hướng.
  2. Nhập tên và bất kỳ thẻ nào cần thiết cho máy ảo EC2 của bạn.
  3. Chọn phiên bản Amazon Linux AMI mới nhất.
  4. Chọn một loại máy ảo (ví dụ: một loại máy t3.micro).
  5. Chọn Proceed without a key pair.
  6. Vì chúng ta đang sử dụng Session Manager để xử lý kết nối, nên chúng ta không cần tạo hoặc sử dụng một cặp khóa hiện có.
  7. Đối với Network Settings, chọn một trong các mạng con riêng được cấu hình trong Amazon Virtual Private Cloud (VPC) của bạn.
  8. Đối với Auto-assign public IP, chọn Disable.
  9. Đối với Security groups, chọn security group bạn đã tạo.
  10. Trong phần Advanced details, đối với IAM instance profile, chọn vai trò IAM đã tạo trước đó, EC2-RDS-AccessRole.

10. Tiếp tục với việc tạo máy ảo của bạn bằng cách chọn Launch instance.

Nếu mọi thứ đều thành công và tất cả các yêu cầu đã được đáp ứng, máy ảo mới được khởi chạy sẽ xuất hiện dưới Managed Instances (Fleet Manager) và sẵn sàng được sử dụng với Systems Manager.

Xác thực cơ sở dữ liệu IAM

Để thiết lập xác thực cơ sở dữ liệu IAM trong cơ sở dữ liệu RDS cho PostgreSQL của bạn bằng cách sử dụng vai trò IAM, làm theo các bước sau:

Bật xác thực cơ sở dữ liệu IAM trên phiên bản RDS cho PostgreSQL.

Tạo một tài khoản người dùng cơ sở dữ liệu sẽ được sử dụng để kết nối với DB instance bằng cách sử dụng xác thực cơ sở dữ liệu IAM. Đảm bảo rằng người dùng cơ sở dữ liệu (trong ví dụ, db_user) được cấp quyền với vai trò rds_iam như được hiển thị trong đoạn mã sau:

CREATE USER db_user;
GRANT rds_iam TO db_user;

Lưu ý rằng cho mục đích kiểm tra, mỗi người dùng hoặc định danh máy vẫn cần có người dùng/vai trò cơ sở dữ liệu riêng của họ.

Để biết thêm thông tin, xem Tạo một tài khoản cơ sở dữ liệu bằng cách sử dụng xác thực IAM.

Bây giờ bạn tạo một chính sách IAM để ánh xạ người dùng cơ sở dữ liệu đã tạo với một người dùng hoặc vai trò IAM.

3. Trên bảng điều khiển IAM, ở bảng điều hướng bên trái, chọn Policies.

4. Chọn Create policy.

5. Trong Policy editor, trên tab JSON, nhập tài liệu JSON sau:

{
  “Version”:”2012-10-17″,
  “Statement”:[
      {
        “Effect”:”Allow”,
        “Action”:[
            “rds-db:connect”
        ],
        “Resource”:[
            “arn:aws:rds-db:<region>:<account-id>:dbuser:<DBInstanceResourceID>/<DatabaseUser>”
        ]
      }
  ]
}

Đảm bảo thay thế các yếu tố sau theo cách phù hợp:

  • region – Khu vực AWS cho DB instance.
  • account-id – Số tài khoản AWS cho DB instance.
  • DBInstanceResourceID – Định danh cho DB instance. Để tìm DB instance resource ID trên bảng điều khiển Amazon RDS, chọn DB instance để xem chi tiết của nó. Sau đó, chọn tab Configuration, và resource ID sẽ được hiển thị trong phần Configuration.
  • DatabaseUser – Tài khoản người dùng cơ sở dữ liệu được tạo để kết nối với DB instance bằng cách sử dụng xác thực IAM cơ sở dữ liệu. Trong ví dụ của chúng tôi, chúng tôi sử dụng db_user.

6. Chọn Review policy và nhập một tên cho chính sách, ví dụ, rds-db-iam.

7. Bạn có thể tùy chọn nhập mô tả.

8. Chọn Create policy.

9. Chọn tên của người dùng hoặc vai trò IAM mà bạn muốn đính kèm chính sách.

10. Chọn Add permissions và sau đó Attach existing policies directly.

11. Tìm kiếm chính sách IAM vừa tạo và chọn chính sách đó.

12. Chọn Next: Review.

13. Đảm bảo rằng chính sách là đúng và chọn Add permissions.

14. Tạo mã thông báo xác thực IAM bằng AWS CLI:

aws rds generate-db-auth-token \
  –hostname <rds_hostname> \
  –port 5432 \
  –region <region> \
  –username db_user

Các tham số để tạo mã thông báo xác thực DB là như sau:

  • rds_hostname – Tên máy chủ của DB instance bạn muốn truy cập (ví dụ: rdspostgres.123456789012.eu-central-1.rds.amazonaws.com).
  • port – Số cổng được sử dụng để kết nối với DB instance của bạn (trong ví dụ của chúng tôi, sử dụng 5432 như mặc định cho PostgreSQL).
  • region – Khu vực AWS cho DB instance.
  • database_user – Tài khoản người dùng cơ sở dữ liệu được tạo để kết nối với DB instance bằng cách sử dụng xác thực IAM cơ sở dữ liệu. Trong ví dụ của chúng tôi, chúng tôi sử dụng db_user.

Do mã thông báo xác thực bao gồm một vài trăm ký tự và có thể gây phiền toái trên dòng lệnh, nên khuyến nghị lưu trữ nó vào một biến môi trường và sử dụng biến đó sau này khi kết nối với cơ sở dữ liệu.

Ví dụ dưới đây cho thấy cách tạo mã thông báo xác thực DB cho người dùng cơ sở dữ liệu db_user và lưu trữ nó trong một biến môi trường PGPASSWORD. Biến PGPASSWORD sẽ hoạt động giống như tham số kết nối mật khẩu.

export RDSHOST=”rdspostgres.123456789012.eu-central-1.rds.amazonaws.com”
export PGPASSWORD=”$(aws rds generate-db-auth-token –hostname $RDSHOST –port 5432 –region eu-central-1 –username db_user)”

Sau khi bạn tạo một mã thông báo xác thực, nó có hiệu lực trong 15 phút trước khi hết hạn. Nếu bạn cố gắng kết nối vào cơ sở dữ liệu của mình bằng một mã thông báo đã hết hạn, yêu cầu kết nối sẽ bị từ chối. Lưu ý rằng mã thông báo xác thực cơ sở dữ liệu chỉ cần để thiết lập kết nối với cơ sở dữ liệu của bạn và không xác định, trong bất kỳ trường hợp nào, thời gian tối đa kết nối hiện có có thể kéo dài trong bao lâu.

Tạo một phiên chuyển tiếp cổng từ xa

Trong phần này, chúng ta sẽ tạo một phiên chuyển tiếp cổng từ xa bằng Systems Manager và kết nối vào RDS cho việc cài đặt PostgreSQL.

  1. Mở một cửa sổ terminal trên máy tính của bạn và đảm bảo các thông tin xác thực AWS của bạn là hợp lệ và bạn có thể truy cập vào tài khoản AWS của mình.
  2. Cập nhật /etc/hosts của bạn để giải quyết $RDSHOST của bạn thành 127.0.0.1:

           echo “127.0.0.1 $RDSHOST” >> /etc/hosts

  1. Tạo một phiên chuyển tiếp cổng từ xa bằng Systems Manager đến cơ sở dữ liệu RDS bằng cách sử dụng EC2 instance (bastion host) đã triển khai trước đó. Trong ví dụ sau, chúng tôi tái sử dụng biến môi trường RDSHOST đã tạo trong phần trước đó. localPortNumber đại diện cho cổng cục bộ trên máy khách nơi lưu lượng nên được chuyển hướng, chẳng hạn như 1053:
aws ssm start-session \
  –region <your region> \
  –target <your EC2 instance> \
  –document-name AWS-StartPortForwardingSessionToRemoteHost \
  –parameters ‘{“host”:[“‘”$RDSHOST”‘”],”portNumber”=[“5432”],”localPortNumber”=[“1053”]}’

Bạn sẽ thấy một cái gì đó tương tự như đầu ra sau:

Starting session with SessionId: mySessionID-1234abcdefghi5678
Port 1053 opened for sessionId mySessionID-1234abcdefghi5678
Waiting for connections…

Giữ thiết bị đầu cuối này mở.

Kết nối với phiên bản cơ sở dữ liệu RDS cho PostgreSQL của bạn bằng xác thực IAM

Để kết nối với DB PostgreSQL của bạn thông qua phiên chuyển tiếp cổng đã tạo trong phần trước, bạn phải có công cụ dòng lệnh psql được cài đặt trên máy tính của mình.

Ngoài ra, khi bạn kết nối với DB PostgreSQL của mình qua SSL, cần phải tải xuống một chứng chỉ SSL. Xem Sử dụng SSL/TLS để mã hóa kết nối đến một DB instance để biết thêm chi tiết.

Sau khi chứng chỉ của bạn đã được tải xuống máy tính của bạn, bạn có thể tham chiếu đến nó bằng cách sử dụng tham số sslrootcert từ công cụ dòng lệnh psql của mình.

Bây giờ bạn có thể kết nối với DB PostgreSQL của mình sử dụng TLS với psql bằng cách thực hiện các bước sau:

  1. Mở một cửa sổ terminal mới trên máy tính của bạn và đảm bảo rằng các thông tin xác thực AWS của bạn là hợp lệ và bạn có thể truy cập vào tài khoản AWS của bạn.
  2. Bây giờ hãy kết nối với DB PostgreSQL của bạn qua SSL bằng cách chạy lệnh sau:
          psql –host $RDSHOST \
  –port 1053 \
  “sslmode=verify-full sslrootcert=<ssl certificate file> dbname=<db name> user=db_user”

Các tham số để thiết lập kết nối là:

  • host – Tên máy chủ của DB instance bạn muốn truy cập. Trong ví dụ này, chúng ta sử dụng biến môi trường RDSHOST đã thiết lập ở trên.
  • port – Cùng là cổng local được sử dụng trong lệnh SSM start-session, ví dụ, 1053.
  • sslmode – Chế độ SSL/TLS được sử dụng. Khi sử dụng sslmode=verify-full, client PostgreSQL kiểm tra rằng tên trong chứng chỉ TLS của máy chủ phù hợp với giá trị của DB instance host.
  • sslrootcert – Đường dẫn đầy đủ đến chứng chỉ TLS chứa khóa công khai.
  • dbname – Tên của cơ sở dữ liệu mà bạn muốn truy cập.
  • user – Tài khoản người dùng cơ sở dữ liệu được tạo để kết nối với DB instance bằng cách sử dụng xác thực cơ sở dữ liệu IAM. Đó là cùng một người dùng được tham chiếu trong phần tài nguyên của chính sách IAM được tạo trước đó, mà ánh xạ người dùng cơ sở dữ liệu với một người dùng hoặc vai trò IAM. Trong ví dụ của chúng ta, nó có tên là db_user.

Lưu ý rằng nếu xác thực chứng chỉ TLS được kích hoạt, thì chứng chỉ TLS bao gồm điểm cuối của DB instance làm Tên chung (CN) cho chứng chỉ TLS để bảo vệ chống lại các cuộc tấn công spoofing. Đó là lý do tại sao, khi kết nối bằng công cụ dòng lệnh psql của bạn thông qua phiên chuyển tiếp cổng, bạn phải sử dụng điểm cuối của DB instance RDS như một máy chủ, thay vì localhost, nếu không xác thực SSL sẽ thất bại.

psql: error: connection to server at “localhost” (::1), port 1053 failed: Connection refused
Is the server running on that host and accepting TCP/IP connections?
connection to server at “localhost” (127.0.0.1), port 1053 failed: server certificate for “rdspostgres.123456789012.eu-central-1.rds.amazonaws.com” does not match host name “localhost”

Nếu kết nối đến DB instance PostgreSQL của bạn bằng xác thực IAM đã thành công, bạn sẽ thấy dấu nhắc như sau:

psql (14.7 (Homebrew), server 14.6)
SSL connection (protocol: TLSv1.2, cipher: ECDHE-RSA-AES256-GCM-SHA384, bits: 256, compression: off)
Type “help” for help.

postgres=>

Dọn dẹp tài nguyên không cần thiết

Để tránh các khoản phí không mong muốn cho tài khoản AWS của bạn, hãy đảm bảo xóa bất kỳ phiên bản EC2 nào bạn đã khởi chạy để thực hiện ví dụ này. Hãy cũng gỡ bỏ cả nhóm bảo mật của phiên bản EC2 và vai trò IAM được tạo ra trong các bước thiết lập ban đầu.

Để chấm dứt một phiên bản (bằng cửa sổ điều khiển)

  1. Mở bảng điều khiển Amazon EC2 tại https://console.aws.amazon.com/ec2/.
  2. Trong bảng điều khiển điều hướng, chọn “Instances“.
  3. Chọn ô kiểm cho phiên bản EC2 được quản lý bởi SSM của bạn.
  4. Từ menu dropdown “Instance state” , chọn “Terminate instance” 
  5. Chọn “Terminate” để xác nhận việc xóa bỏ.

Để xóa một nhóm bảo mật (bằng cửa sổ điều khiển)

  1. Mở bảng điều khiển Amazon EC2 tại https://console.aws.amazon.com/ec2/.
  2. Trong bảng điều khiển điều hướng, chọn “Security Groups“.
  3. Chọn nhóm bảo mật được tạo ra trong các bước trên và chọn “Actions” và “Delete security groups“.
  4. Chọn “Delete” khi được yêu cầu xác nhận.

Để xóa một vai trò IAM (bằng cửa sổ điều khiển)

  1. Mở bảng điều khiển IAM Amazon tại https://console.aws.amazon.com/iam/.
  2. Trong bảng điều khiển điều hướng, chọn “Roles“, và sau đó chọn ô kiểm bên cạnh tên vai trò mà bạn muốn xóa (trong ví dụ của chúng tôi là EC2-RDS-AccessRole).
  3. Chọn “Delete” ở đầu trang.
  4. Trong hộp thoại xác nhận, nhập tên vai trò vào trong ô văn bản và chọn “Delete“.

Kết luận

Trong bài viết này, chúng tôi đã chỉ ra cách kết nối đến các cơ sở dữ liệu RDS bằng cách sử dụng xác thực IAM và Session Manager với khả năng chuyển tiếp cổng từ xa. Giải pháp này, so với các cơ chế kết nối cơ sở dữ liệu truyền thống với các máy chủ bastion được tiết lộ công khai trên internet, giảm diện tích tấn công của hệ thống của bạn trong khi đồng thời đơn giản hóa kiến trúc mạng của bạn.

Nó cũng giảm bớt các công việc vận hành liên quan đến việc quản lý tên người dùng và mật khẩu cho cơ sở dữ liệu của bạn bằng cách đảm bảo truy cập an toàn và kiểm soát đến các tài nguyên Amazon RDS của bạn với các chính sách IAM.

Để tìm hiểu thêm về xác thực cơ sở dữ liệu IAM cho các DB engine khác nhau, tham khảo Xác thực cơ sở dữ liệu IAM cho MariaDB, MySQL và PostgreSQL.

Đối với thông tin chi tiết về các khả năng của Systems Manager, tham khảo Khả năng Vận hành của AWS Systems Manager.

Nếu bạn có bất kỳ câu hỏi, ý kiến hoặc đề xuất nào, hãy để lại một bình luận.

Giới thiệu về tác giả

Adria Morgado là Kiến trúc sư cơ sở hạ tầng đám mây tại Amazon Web Services. Ông chuyên thiết kế và triển khai các giải pháp mạnh mẽ, có thể mở rộng và an toàn cho các khách hàng doanh nghiệp lớn.

Alan Oberto Jimenez là kiến trúc sư/nhà phát triển đám mây chuyên hỗ trợ khách hàng kiến trúc, phát triển và tái cấu trúc các ứng dụng có thể tận dụng tối đa Đám mây AWS.

Leave a comment