RDS安全性群組功能允許您通過關聯ECS安全性群組或自訂配置特定的安全性群組規則,便捷地控制哪些ECS執行個體或其它授權實體能夠訪問您的RDS執行個體,從而實現對RDS執行個體存取權限的精細化管理,確保資料訪問的安全與高效。本文將介紹如何設定RDS安全性群組規則。
操作環境
建立RDS SQL Server執行個體後,暫時無法訪問執行個體。您需要通過配置IP白名單或安全性群組規則來開放存取權限。設定完成後,IP白名單中的IP地址、安全性群組中的ECS執行個體、安全性群組中的自訂授權實體都可以訪問該RDS SQL Server執行個體。
注意事項
一個執行個體最多支援添加10個安全性群組,安全性群組規則數量暫無限制。
白名單中的安全性群組的更新將即時應用到白名單。
RDS執行個體只能添加與自身網路類型相同的安全性群組。即執行個體為Virtual Private Cloud時,只能添加VPC類型的安全性群組;執行個體為傳統網路時,只能添加傳統網路類型的安全性群組。
說明添加安全性群組後,如果切換執行個體網路類型,會導致安全性群組失效,需要重新添加對應網路類型的安全性群組。
設定安全性群組
本操作用於為RDS SQL Server執行個體添加ECS安全性群組,以允許ECS安全性群組下的所有ECS執行個體訪問RDS SQL Server執行個體。
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊白名單與安全性群組,然後單擊安全性群組頁簽。
單擊添加安全性群組(共用型執行個體)或關聯安全性群組白名單(通用型或獨享型執行個體),選擇您希望建立關聯的安全性群組,單擊確定。
說明帶有VPC標識的安全性群組為專用網路中的安全性群組。
設定安全性群組規則
本操作用於為特定授權對象配置安全性群組規則,以允許特定的授權實體訪問RDS SQL Server執行個體或其他服務(例如SSAS、SSRS),適用於特定業務情境下的網路連接。
目前僅通用型和獨享型執行個體支援安全性群組規則配置功能,不支援共用型執行個體。更多詳情,請參見執行個體規格類型系列。
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊白名單與安全性群組,然後單擊安全性群組頁簽。
單擊添加安全性群組規則,選擇添加類型並配置安全性群組規則,單擊確定。
說明由於同一VPC下的主機共用同一安全性群組,因此若您修改了某個執行個體安全性群組時,將直接影響該VPC下的其他執行個體。
添加類型
說明
情境化添加
支援如下兩種情境:
SQLServer 資料分析(SSAS):預設協議類型為TCP,連接埠範圍為
2383/2383,授權對象為0.0.0.0/0。SQLServer 資料報表(SSRS):預設協議類型為TCP,連接埠範圍為
443/443,授權對象為0.0.0.0/0。
重要0.0.0.0/0作為授權對象表示對所有IP開放訪問,建議在實際業務情境中及時調整為具體IP段,避免安全風險。手動添加
配置安全性群組規則,各配置項說明如下:
相關操作
刪除安全性群組
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊白名單與安全性群組,然後單擊安全性群組頁簽。
在安全性群組面板中,刪除您希望取消關聯的安全性群組。
說明如需刪除執行個體已關聯的所有ECS安全性群組,可單擊清空按鈕。
單擊確定。
修改安全性群組規則
刪除安全性群組規則
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊白名單與安全性群組,然後單擊安全性群組頁簽。
在安全性群組面板中,刪除您希望取消關聯的安全性群組規則。
