云数据库 TAURUSDB-GaussDB(for MySQL)安全最佳实践:正确的使用访问控制能力保护数据不泄露、不被篡改

时间:2024-12-03 17:01:49

正确的使用访问控制能力保护数据不泄露、不被篡改

正确的使用访问控制能力,可以有效预防您的数据被异常窃取或者破坏。

  1. 建议对不同角色的 IAM 用户仅设置最小权限,避免权限过大导致数据泄露或被误操作

    为了更好的进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限,详情请参见权限管理

  2. 配置安全组访问控制,保护数据不被异常读取和操作

    您创建 GaussDB (for MySQL)实例后,配置安全组的入方向、出方向规则限制,可以控制连接实例的网络范围,避免GaussDB(for MySQL)暴露给不可信第三方。详情请参见设置安全组规则

  3. 建议使用非默认端口,避免端口被扫描攻击

    GaussDB(for MySQL)默认端口为3306,容易被扫描攻击,建议将端口设置为非默认端口。详情请参见修改数据库端口

  4. 定期修改管理员账号密码,防止账号被盗用。

    默认的数据库管理员帐号root拥有较高的权限,建议您参考重置管理员密码定期修改root密码。

  5. 使用不同的账号(非管理员)管理不同的数据库

    通过创建不同的账号,将各个数据库按照业务或者实际需要分配给不同的账号管理,并且对账号进行读写权限的分配。详情请参见账号管理

  6. 开启敏感操作多因子认证保护您的数据不被误删

    GaussDB(for MySQL)支持敏感操作保护,开启后执行删除实例等敏感操作时,系统会进行身份验证,进一步保证GaussDB(for MySQL)配置和数据的安全性,对数据的高危操作进行控制。详情请参见敏感操作

support.huaweicloud.com/bestpractice-gaussdbformysql/taurus_best_42.html