Amazon RDS 上的 MySQL 安全性

要对 MySQL 数据库实例的登录信息和权限进行身份验证，可单独或组合采用以下各种方式。

您可采用与独立 MySQL 实例相同的方式。CREATE USER、RENAME USER、GRANT、REVOKE 和 SET PASSWORD 等命令的作用与它们在本地数据库中的作用相同，就像直接修改数据库架构表。但是，直接修改数据库架构表并不是最佳做法，而且从版本 8.0.36 开始，不支持直接修改数据库架构表。有关信息，请参阅 MySQL 文档中的访问控制和账户管理。

您还可以使用 IAM 数据库身份验证。如果采用 IAM 数据库身份验证方式，可使用 IAM 用户或 IAM 角色以及身份验证令牌对数据库实例进行身份验证。身份验证令牌是使用签名版本 4 签名流程生成的唯一值。通过使用 IAM 数据库身份验证，您可以使用相同的凭证来控制对 AWS 资源和数据库的访问。有关更多信息，请参阅 适用于 MariaDB、MySQL 和 PostgreSQL 的 IAM 数据库身份验证。

另一个选项是 RDS for MySQL 的 Kerberos 身份验证。数据库实例与 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 配合使用以启用 Kerberos 身份验证。当用户在加入信任域的 MySQL 数据库实例中进行身份验证时，将转发身份验证请求。转发的请求将转到您使用 AWS Directory Service 创建的域目录。有关更多信息，请参阅 对 MySQL 使用 Kerberos 身份验证。