Wie konfiguriere ich einen bereitgestellten Amazon Aurora-DB-Cluster so, dass er öffentlich zugänglich ist?

Kurzbeschreibung

Um den Aurora-DB-Cluster öffentlich zugänglich zu machen, müssen die Instances im Cluster eine öffentliche IP-Adresse haben und in einem öffentlichen Subnetz ausgeführt werden.

Für Aurora-DB-Instances kannst du kein bestimmtes Subnetz auswählen. Stattdessen musst du eine DB-Subnetzgruppe wählen, wenn du die Instance erstellst. Stelle sicher, dass du eine DB-Subnetzgruppe mit ähnlichen Netzwerkkonfigurationen erstellst. Erstelle beispielsweise eine DB-Subnetzgruppe für öffentliche Subnetze und eine weitere für private Subnetze.

Nachdem du die DB-Instance so konfiguriert hast, dass sie Verbindungen von außerhalb der VPC zulässt, kannst du TLS verwenden, um die Verbindungen zu sichern.

Hinweis: Es ist eine bewährte Sicherheitsmethode, keine Verbindungen von außerhalb der VPC zuzulassen, es sei denn, du musst öffentliche Zugänglichkeit haben.

Lösung

Die Einstellung „Öffentlich zugänglich“ für die DB-Instance auf „Ja“ setzen

Die Einstellung Öffentlich zugänglich für eine Amazon Relational Database Service (Amazon RDS)-DB-Instance regelt die Zuweisung einer öffentlichen IP-Adresse an die DB-Instance. Wenn du die Einstellung auf Nein setzt, hat die DB-Instance keine öffentliche IP-Adresse. Wenn du die Einstellung auf Ja setzt, hat die DB-Instance sowohl öffentliche als auch private IP-Adressen.

Gehe wie folgt vor, um die Einstellung Öffentlich zugänglich der DB-Instance auf Ja zu ändern:

1. Öffne die Amazon-RDS-Konsole.
2. Wähle im Navigationsbereich Datenbanken und wähle dann den DB-Instance aus.
3. Wähle Ändern aus.
4. Wähle im Abschnitt Konnektivität die Option Zusätzliche Konfiguration und dann Öffentlich zugänglich aus.
5. Wähle Weiter aus.
6. Wähle im Abschnitt Änderungen am Zeitplan die Option aus, die für den Anwendungsfall am besten geeignet ist.
   Hinweis: Die Option Sofort anwenden kann zu Ausfallzeiten führen. Weitere Informationen findest du unter Verwendung der Einstellung für Zeitplanänderungen.
7. Wähle DB-Instance ändern aus.

Eine DB-Instance in einem öffentlichen Subnetz ausführen

Gehe wie folgt vor, um sicherzustellen, dass das öffentliche Subnetz deiner DB-Instance über einen Internetzugang verfügt:

1. Erstelle ein Internet-Gateway und ordne das Gateway der VPC zu.
2. Wähle im Navigationsbereich die Option Subnetze aus.
3. Stelle sicher, dass alle Subnetze in der DB-Subnetzgruppe eine Routing-Tabelle mit der Internet-Gateway verwenden.
4. Wenn das Subnetz die Haupt-Routing-Tabelle der VPC verwendet, füge die Route „0.0.0.0/0“ für das Internet-Gateway hinzu. Du kannst auch eine benutzerdefinierte Routing-Tabelle mit einer Route zum Internet-Gateway erstellen und die Routing-Tabelle dann dem Subnetz zuordnen.
5. Um die öffentliche Quell-IP-Adresse hinzuzufügen, von der aus du eine Verbindung zur DB-Instance herstellen möchtest, konfiguriere die Regeln für eingehende Sicherheitsgruppen.
   Wähle für Typ MySQL/Aurora oder PostgreSQL aus.
   Wähle für Quelle die Option Benutzerdefiniert aus und gib den CIDR-Bereich manuell ein. Oder wähle My IP aus, um von derselben Workstation aus eine Verbindung zur DB-Instance herzustellen.

Den DB-Cluster vor Verbindungen, die von außerhalb der VPC sind, schützen

Verwende TLS, um Verbindungen zu verschlüsseln, die von außerhalb einer VPC sind, da die Datenübertragung über das Internet erfolgt. Um sicherzustellen, dass du die höchste Sicherheitsstufe nutzt, verwende den Parameter ssl-ca, um das Zertifikat der Zertifizierungsstelle (CA) zu übergeben und aktiviere anschließend die Hostnamenüberprüfung.

Um die TLS-Verbindung zu testen, führe den folgenden Befehl für die von dir verwendete Version von Aurora aus.

Amazon Aurora MySQL-kompatible Ausgabe 5.6

mysql -h test-aurora-56.cluster-############.us-east-1.rds.amazonaws.com -u test_user --ssl-ca=rds-combined-ca-bundle.pem --ssl-verify-server-cert

Hinweis: Ersetze test-aurora-56.cluster-#############.us-east-1.rds.amazonaws.com durch den Cluster-Endpunkt. Ersetze test_user durch den Benutzernamen. Ersetze rds-combined-ca-bundle.pem durch den Pfad der CA.

Amazon Aurora MySQL-kompatibel 5.7 und höher

mysql -h test-aurora-57.cluster-############.us-east-1.rds.amazonaws.com -u test_user --ssl-ca=rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY

Hinweis: Ersetze test-aurora-57.cluster-#############.us-east-1.rds.amazonaws.com durch den Cluster-Endpunkt. Ersetze test_user durch den Benutzernamen. Ersetze rds-combined-ca-bundle.pem durch den Pfad der CA.

Amazon Aurora PostgreSQL-kompatible Edition

psql -h test-aurora-pg.cluster-############.us-east-1.rds.amazonaws.com -p 5432 "dbname=postgres user=test_user sslrootcert=rds-combined-ca-bundle.pem sslmode=verify-full"

Hinweis: Ersetze test-aurora-pg.cluster-#############.us-east-1.rds.amazonaws.com durch den Cluster-Endpunkt. Ersetze 5432 durch den Port des Clusters. Ersetze postgres durch den Datenbank-Benutzernamen. Ersetze test_user durch den Benutzernamen. Ersetze rds-combined-ca-bundle.pem durch den Pfad der CA.

Du kannst TLS auch für DB-Cluster erzwingen. Stelle TLS für Aurora MySQL-kompatibel auf Datenbankbenutzerebene ein. Setze für Aurora PostgreSQL-kompatibel den Parameter rds.force_ssl auf 1.

Ähnliche Informationen

Verwenden von SSL/TLS zum Verschlüsseln einer Verbindung zu einem DB-Cluster

Sicherung von Aurora PostgreSQL-Daten mit SSL/TLS

Wie stelle ich mit einem Bastion-Host von meinem Linux/macOS-Computer aus eine Verbindung zu meiner Amazon RDS-DB-Instance her?

Wie kann ich private und öffentliche Aurora-Endpunkte in der Amazon RDS-Konsole konfigurieren?