我想允许 VPC 之外的一组 IP(使用工作台的开发人员)访问 RDS。但是,我想禁用“公开访问”。有办法吗?
配置:Rds_01 位于 vp_01 内,vp_01 附加了安全组 rds_sec_01。Mysql 规则为开放(0.0. 等)。
我已尝试过:
- 将 IP 添加到 RDS sec 组 = 没有成功
- 开放端口 xx 上的所有流量 = 没有运气
任何帮助将非常感激。
谢谢
答案1
不。如果你想让它公开,你必须让它公开。你可以让它公开和但是,限制安全组中可以连接的 IP 地址。
答案2
我知道这有点老了,但我想建议对于开发人员访问数据库的特定情况,Liason/Bastion 服务器可能是更好的答案。
简单来说,你在与 RDS 实例相同的 VPC 中设置一个廉价的 EC2 实例,并使其可公开访问,为其提供一个 Elastic IP。然后,你可以将开发人员的公钥添加到此联络服务器。使用SSH 隧道您的开发人员可以访问数据库。
您甚至可以使用安全组来限制可以通过 ssh 连接到 liason 服务器的 IP。由于数据库不在公共互联网上,因此可以免受各种扫描和直接攻击,并且您以公钥身份验证的形式为直接数据库访问设置了另一层身份验证。