RDSインスタンスのIPアドレスホワイトリストは、RDSインスタンスで作成されたすべてのアカウントで有効になります。 IPアドレスホワイトリストを使用して、各アカウントが許可されたデータベースにアクセスできるIPアドレスを制限することはできません。 IPアドレスホワイトリストのみを使用してRDSインスタンスへのアクセスを制御すると、RDSインスタンスがセキュリティリスクにさらされる可能性があります。 このトピックでは、ApsaraDB RDS for MySQLインスタンスの指定されたIPアドレスから許可されたデータベースへのアクセスをアカウントに許可する方法について説明します。
前提条件
特権アカウントが作成されます。 詳細については、「ApsaraDB RDS For MySQLインスタンスでのアカウントの作成」をご参照ください。
使用上の注意
このトピックの操作を実行して、アカウントが指定されたIPアドレスから許可されたデータベースにアクセスすることを許可し、ApsaraDB RDSコンソールまたはAPI操作を呼び出してアカウントを管理すると、問題が発生する可能性があります。 データ管理 (DMS) またはSQLステートメントを使用してアカウントを管理することを推奨します。
データベースへのログインに使用されるアカウントのユーザー名が同じで、アカウント192.168.% や192.168.%.% などの同等のIPアドレスが割り当てられている場合、システムは認証順序を保証できず、アクセス例外が発生する可能性があります。 たとえば、
user@192.168.%アカウントとuser@192.168.%.%アカウントを使用してデータベースにログインできます。 いずれかのアカウントを使用してデータベースにログインすると、システムはいずれかのアカウントをランダムに認証します。 2つのアカウントのパスワードまたは権限が異なる場合、ログインが失敗するか、データベースにログインした後に権限が異なる可能性があります。 異なるユーザー名を使用することを推奨します。
SQL文を使用して、指定したIPアドレスから許可されたデータベースにアクセスする権限をアカウントに付与する
RDSインスタンスに接続します。 詳細については、「クライアントまたはCLIを使用したApsaraDB RDS For MySQLインスタンスへの接続」をご参照ください。
SQL文を実行してRDSインスタンスにアカウントを作成し、そのアカウントにデータベースを管理し、指定されたIPアドレスから許可されたデータベースにアクセスすることを許可します。 作成されたアカウントの承認済みデータベースは、ApsaraDB RDSコンソールで表示できません。
次のステートメントを実行してtest001という名前のユーザーを作成し、IPアドレス42.120.XX.XXからrds001データベースにアクセスして管理することをユーザーに許可します。
ユーザー 'test001' @ '42.120.XX. XX' を作成します 'パスワード' によって識別されます。承認プロセス、複製スラブ、複製クライアントON * 。* 「test001」 @ 「42.120.XX. XX」へ; 「rds001」ですべての特権を付与します。* 「test001」 @ 「42.120.XX. XX」に。mysqlの選択を許可します。* 'test001' @ '42.120.XX. XX';説明上記のすべてのステートメントのIPアドレス42.120.XX.XXをワイルドカード % に変更すると、作成されたユーザーはApsaraDB RDSコンソールで作成したデータベースアカウントと同じように機能します。 つまり、作成されたユーザーの承認済みデータベースをApsaraDB RDSコンソールで表示できます。
次のステートメントを実行して、IPアドレスを42.121.XX.XXに変更できます。
RENAMEUSER 'test001' @ '42.120.XX. XX' を 'test001' @ '42.121.XX. XX' に変更します。