Como configuro um cluster de banco de dados Aurora provisionado para ser acessível ao público?

Breve descrição

Pré-requisitos: para se conectar a um cluster de banco de dados de fora da conexão da Amazon Virtual Private Cloud (Amazon VPC), as instâncias do cluster devem ter um endereço IP público. A instância de banco de dados Aurora também deve ser executada em uma sub-rede acessível ao público.

É possível usar o TLS para proteger conexões de fora da VPC.

Resolução

Definir um endereço IP público para a instância de banco de dados

Para definir um endereço IP público para a instância de banco de dados, modifique a instância de banco de dados. Na página Modificar instância de banco de dados, em Conectividade, expanda Configuração adicional. Em Executar a instância de banco de dados em uma sub-rede pública, selecione Acessível publicamente.

Executar a instância de banco de dados em uma sub-rede pública

Para garantir que a sub-rede da sua instância de banco de dados tenha acesso à Internet, conclua as etapas a seguir:

1. Verifique se sua VPC tem um gateway de internet conectado a ela.
2. Verifique se todas as sub-redes no grupo de sub-redes de banco de dados usam uma tabela de rotas com o gateway da internet. Se a sub-rede usar a tabela de rotas principal da VPC, adicione a rota do gateway da internet (0.0.0.0/0). Também é possível criar uma tabela de rotas personalizada com uma rota do gateway da internet e, em seguida, associá-la à sub-rede.
3. Modifique as regras de entrada do grupo de segurança para adicionar o endereço IP público de origem do qual você deseja se conectar à instância de banco de dados. Defina suas configurações de regra:
   Em Tipo, selecione MySQL/Aurora ou PostgreSQL com base no seu mecanismo.
   Em Origem, insira manualmente o intervalo CIDR ou escolha Meu IP para se conectar à instância de banco de dados a partir da mesma estação de trabalho.

Proteger o cluster de banco de dados de conexões externas à VPC

Use o TLS para criptografar conexões que vêm de fora de uma VPC. A transferência de dados acontece pela internet. Como resultado, é uma prática recomendada usar o parâmetro ssl-ca para transmitir o certificado CA e, em seguida, ativar a validação do nome do host.

Para testar a conexão do TLS, execute o comando com base na versão do Aurora que você usa.

Compatível com Aurora MySQL 5.7 e versões posteriores:

mysql -h Your-aurora-cluster-endpoint.cluster-abcdefghxyz.us-east-1.rds.amazonaws.com -u your-db-user --ssl-ca=rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY

Observação: substitua Your-aurora-cluster-endpoint.cluster-abcdefghxyz.us-east-1.rds.amazonaws.com pelo ARN do endpoint do cluster e your-db-user pelo usuário do banco de dados.

Edição do Amazon Aurora compatível com PostgreSQL:

psql -h your-aurora-cluster-endpoint.cluster-abcdefghxyz.us-east-1.rds.amazonaws.com -p 5432 "dbname=postgres user=your-db-user sslrootcert=rds-combined-ca-bundle.pem sslmode=verify-full"

Observação: substitua Your-aurora-cluster-endpoint.cluster-abcdefghxyz.us-east-1.rds.amazonaws.com pelo ARN do endpoint do cluster e your-db-user pelo usuário do banco de dados.

Também é possível aplicar TLS para clusters de banco de dados. Para compatibilidade com o Aurora MySQL, defina o TLS no nível do usuário do banco de dados. Para compatibilidade com o Aurora PostgreSQL, defina o parâmetro rds.force_ssl como 1.

Informações relacionadas

Conexões TLS com clusters de banco de dados do Aurora MySQL

Proteger os dados do Aurora PostgreSQL com SSL/TLS

Como faço para me conectar à minha instância de banco de dados do Amazon RDS com um bastion host da minha máquina Linux ou macOS?

Como posso configurar endpoints privados e públicos do Aurora no console do Amazon RDS?