為了資料庫的安全穩定,在開始使用RDS前,需要將待訪問資料庫的IP地址或者IP段加到RDS執行個體的白名單中。正確使用白名單可使RDS得到進階別的訪問安全保護,建議您定期維護白名單。
背景資訊
訪問資料庫有如下三種情況,關於不同連線類型(內網和外網)的適用場景,請參見設定串連地址中的背景資訊介紹。
-
外網訪問RDS資料庫
-
內網訪問RDS資料庫
-
內外網同時訪問RDS資料庫
在您設定執行個體的連線類型之前,您需要先將應用服務或ECS的IP地址或IP段添加到RDS執行個體的白名單中。當您設定好白名單後,系統會自動為您生成內網地址。若您需要使用外網地址,請參見申請外網地址。
注意事項
-
系統會給每個執行個體建立一個預設的default白名單分組,該白名單分組只能被修改或清空,不能被刪除。
-
對於新建的RDS執行個體,系統預設會將傳回位址127.0.0.1添加到default白名單分組中,IP地址127.0.0.1代表禁止所有IP地址或IP段訪問該RDS執行個體。所以,在您設定白名單時,需要先將127.0.0.1刪除,再添加您允許訪問該RDS執行個體的IP地址或IP段。
-
若將白名單設定為%或者0.0.0.0/0,代表允許任何IP訪問RDS執行個體。該設定將極大降低資料庫的安全性,請勿使用。
操作步驟
- 登入RDS管理主控台。
- 選擇目標執行個體所在地域。
- 單擊目標執行個體的ID,進入基本資料頁面。
- 在左側導覽列中選擇資料安全性,進入資料安全性頁面。
- 在白名單設定標籤頁面中,單擊default白名單分組中的修改,如下圖所示。
说明 若您想使用自訂分組,請先單擊default白名單分組中的清空刪除預設分組中的IP地址127.0.0.1,單擊添加白名單分組新建自訂分組,後續操作步驟與下述步驟相似。
- 在修改白名單分組頁面,在組內白名單欄中填寫需要訪問該執行個體的IP地址或IP段。若您需要添加ECS的內網IP,請單擊載入ECS內網IP,然後根據提示選擇IP。如下圖所示。
说明 當您在default分組中添加新的IP地址或IP段後,傳回位址127.0.0.1會被自動刪除。
參數說明:
-
分組名稱:長度為2~32個字元,由小寫字母、數字或底線組成,開頭需為小寫字母,結尾需為字母或數字。在白名單分組建立成功後,該名稱將不能被修改,但可以刪除白名單分組。
-
組內白名單:填寫允許訪問RDS執行個體的IP地址或者IP段。
-
若填寫IP段,如10.10.10.0/24,則表示10.10.10.X的IP地址都可以訪問該RDS執行個體。
-
若您需要添加多個IP,請用英文逗號隔開(逗號前後都不能加空格),例如192.168.0.1,172.16.213.9。
-
在每個白名單分組中,MySQL、PostgreSQL和PPAS類型的RDS執行個體可以添加1000個IP,SQL Server類型的RDS執行個體可以添加800個IP。
-
-
載入ECS內網IP:單擊該按鈕後,將顯示同帳號下每個ECS執行個體對應的IP地址,可用於快速添加ECS內網IP到白名單中。
-
- 單擊確定。
修改或刪除白名單分組
您可以根據業務需求修改或刪除白名單分組,操作步驟如下:
- 登入RDS管理主控台。
- 選擇目標執行個體所在地域。
- 單擊目標執行個體的ID,進入基本資料頁面。
- 在左側導覽列中選擇資料安全性,進入資料安全性頁面。
- 在白名單設定標籤頁面中,單擊目標白名單分組中的修改或刪除。
- 完成修改白名單或確認要刪除該白名單分組後,單擊確定。