ApsaraDB for RDSは多次元アクセス制御を実装し、データセキュリティを確保します。
次のいずれかの方法を使用して、RDSインスタンスにアカウントを作成できます。
- ApsaraDB RDSコンソールまたはAPIを使用して標準アカウントを作成します。 次に、特定のデータベースに対する読み取り専用、読み取り /書き込み、DDL専用、またはDML専用の権限をアカウントに付与します。 詳細については、「ApsaraDB RDS For MySQLインスタンスでのアカウントの作成」をご参照ください。
- テーブル、ビュー、フィールドレベルなど、きめ細かいレベルでのアクセス制御が必要な場合は、ApsaraDB RDSコンソールまたはAPIを使用して特権アカウントを作成できます。 次に、特権アカウントを使用してRDSインスタンスにログインし、特定のデータベースの管理を許可された標準アカウントを作成できます。 特権アカウントは、標準アカウントにきめ細かいレベルで権限を付与できます。 詳細については、「アカウントにテーブル、ビュー、およびフィールドの管理を許可する」をご参照ください。
ホワイトリストベースのアクセス制御
ApsaraDB RDSでは、RDSインスタンスへのアクセスを制御するために使用されるホワイトリストを設定できます。 詳細については、「ApsaraDB RDS For MySQLインスタンスのホワイトリストの設定」をご参照ください。
デフォルトのIPアドレスホワイトリストには、127.0.0.1 IPアドレスのみが含まれます。 これは、RDSインスタンスがインターネットまたは内部ネットワーク経由のすべてのIPアドレスからのアクセスを拒否することを示します。 ApsaraDB RDSコンソールの [データセキュリティ] ページでホワイトリストを設定できます。 ApsaraDB RDS APIを使用してホワイトリストを設定することもできます。 ホワイトリストを更新した後、RDSインスタンスを再起動する必要はありません。 これにより、ワークロードの中断が回避されます。