使用AMI作为身份验证层，从MySQL客户端建立到AWS的连接。

Question

我想要建立到我们的AWS实例之一到希望使用MySQL客户端(蟾蜍)的外部远程协作者的连接。

我可以设置一个安全组并访问db，这样就可以接受来自其office的连接，但是这有点太公开了，而且不需要用户问责。或者，我们可以创建一个VPN用户来连接到我们的办公室，但这在过去还很不理想，我更喜欢研究其他选项。

IAM提供了一个很好的安全层，但是在这种情况下可以将它用作身份验证层吗？

Answer 1

1. 创建一个跳转主机EC2实例，并授予该EC2实例对您的EC2数据库的访问权限，这样您将不得不白名单EC2实例的IP地址，而不是整个office。
2. 为要访问跳转主机EC2实例上的数据库的人创建SSH用户。
3. 使用使用蟾蜍的“标准TCP/Ip over SSH”要求用户连接到数据库。
4. 这将实现不白化整个office地址的用例，并且使用SSH可以实现用户问责。

Answer 2

从安全角度来看，在MySQL中授予最小权限访问的白表IP和唯一用户是这些实现的常见安全设置，非常安全，并提供了完整的用户问责、跟踪和审计级别。您知道每个用户的访问权限，它只能来自一个IP。你知道那个用户是谁。你可以控制他们在数据库中可以访问的内容。

我不相信添加IAM层是可能的，即使这样，它仍然是另一种形式的用户身份验证和授权，就像MySQL登录所提供的那样。

最后，您需要信任该用户以您希望授予数据的方式访问您的数据。一个白名单的IP和唯一的登录是非常安全的。对于位于RDS的SSL端点，数据在传输中也是安全的。我看不出任何不合理的安全风险。此设置是标准的，在任何安全数据环境中都是强制性的，例如在符合PCI的应用程序中进行支付处理。

任何其他实现之上的这一过头，并增加了管理负担，没有很多好处，IMHO。

为了进一步的安全性，让每个用户签署一个安全策略，明确描述他们访问数据的限制和范围，他们有义务保护他们的帐户的密码，而不是共享帐户等等。信任是好的，但是强有力的策略声明可以执行有关数据安全的正确行为。