View a markdown version of this page

Considerazioni sulla sicurezza per l'aggiornamento da Aurora MySQL versione 3 alla versione 8.4 - Amazon Aurora
Politica di autenticazione (nuova nella versione 8.4)Comportamento dell'utente principaleCrittografia e modifiche TLSMigrazione dei componenti di convalida della passwordNuovi privilegi dinamiciApplicazione protetta da parte degli utenti per rdsproxyadmin

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni sulla sicurezza per l'aggiornamento da Aurora MySQL versione 3 alla versione 8.4

Durante la migrazione da Aurora MySQL versione 3 (compatibile con MySQL 8.0) ad Aurora MySQL versione 8.4, diverse importanti modifiche relative alla sicurezza richiedono un'attenta pianificazione e considerazione. Questa guida descrive le principali modifiche alla sicurezza e fornisce consigli per una migrazione senza problemi.

Politica di autenticazione (nuova nella versione 8.4)

Aurora MySQL versione 3 (compatibile con MySQL 8.0) utilizza il default_authentication_plugin parametro per configurare il plug-in di autenticazione predefinito utilizzato durante la creazione degli utenti del database. Nella versione 8.4 di Aurora MySQL, questo parametro viene sostituito dal parametro, impostato su di default. authentication_policy *:caching_sha2_password

Valori supportati in Aurora MySQL:

  • *:caching_sha2_password(Valore predefinito. Consente qualsiasi plug-in di autenticazione a fattore singolo, utilizzandolo caching_sha2_password se non ne è specificato nessuno)

  • *:mysql_native_password(Consente qualsiasi plug-in di autenticazione a fattore singolo, utilizzandolo mysql_native_password se non ne è specificato nessuno)

Nota

Multi-factor le configurazioni di autenticazione non sono supportate in Aurora MySQL versione 8.4.

L'upgrade precheck deprecated DefaultAuth avvisa se il cluster di origine è impostato su. default_authentication_plugin mysql_native_password Leggi questo avviso e configura il authentication_policy parametro nel gruppo di parametri del cluster di destinazione durante l'aggiornamento.

Comportamento dell'utente principale

Nuovi cluster

L'utente principale viene creato con il plug-in di autenticazione impostato dal authentication_policy parametro al momento della creazione del cluster. Se si utilizza il gruppo di parametri predefinito, l'utente principale viene creato con il plug-in di caching_sha2_password autenticazione. Se si utilizza un gruppo di parametri personalizzato con il authentication_policy parametro impostato su*:mysql_native_password, l'utente principale viene creato con il plug-in di mysql_native_password autenticazione.

Reimpostazione della password dell'utente principale

Quando si reimposta la password dell'utente principale Console di gestione AWS, tramite CLI (modify-db-cluster --master-user-password) o API, Aurora utilizza il plug-in predefinito corrente definito dal authentication_policy parametro al momento del ripristino.

Secrets Manager e rotazione delle password

Quando si utilizza Gestione dei segreti AWS per gestire la password dell'utente principale, se si aggiorna il valore del authentication_policy parametro, la rotazione successiva della password imposterà il plug-in di autenticazione dell'utente principale in modo che corrisponda al nuovo valore del authentication_policy parametro.

Utenti del database creati dopo l'aggiornamento

Gli utenti esistenti del database che utilizzano il plug-in di mysql_native_password autenticazione continuano a funzionare dopo l'aggiornamento. Gli utenti del database creati dopo l'aggiornamento senza specificare alcuna IDENTIFIED WITH clausola utilizzano il plug-in di autenticazione definito dal authentication_policy parametro. Quando il parametro ha il valore predefinito di*:caching_sha2_password, i nuovi utenti vengono creati con il plug-in di caching_sha2_password autenticazione.

Per modificare il plug-in di autenticazione predefinito per tutti i nuovi utenti, aggiorna il valore diauthentication_policy. Per ulteriori informazioni sui valori supportati, consultaPolitica di autenticazione (nuova nella versione 8.4).

Per creare un utente con un plug-in di autenticazione diverso da quello predefinito, specificalo esplicitamente nella CREATE USER dichiarazione:

CREATE USER 'username'@'host' IDENTIFIED WITH authentication-plugin BY 'password';

Crittografia e modifiche TLS

Per richiedere TLS per tutte le connessioni utente al cluster Aurora MySQL DB, usa il parametro DB cluster. require_secure_transport Per impostazione predefinita, questo parametro è impostato ON su Aurora MySQL versione 8.4.

Aurora MySQL versione 8.4 applica standard crittografici più rigorosi in linea con i più recenti requisiti di sicurezza sui parametri del cluster DB (TLS 1.2) e ssl_ciphers (TLS 1.3). tls_ciphersuites Per ulteriori informazioni, consulta Sicurezza con Amazon Aurora MySQL.

Per evitare interruzioni della connessione, verifica le configurazioni TLS per il client MySQL e il cluster DB di destinazione prima della migrazione.

Migrazione dei componenti di convalida della password

Aurora MySQL versione 8.4 introduce il parametro aurora_enable_validate_password_component cluster per abilitare o disabilitare il validate_password componente, eliminando la necessità di installarlo o disinstallarlo manualmente. Se il validate_password plug-in è stato precedentemente installato e da allora lo avete abilitato dopo l'aggiornamento, solo il componente è efficace: il plug-in viene ignorato.

A partire dalla versione 8.4 di Aurora MySQL, se in precedenza avevi installato il validate_password plug-in tramite il INSTALL PLUGIN comando, puoi migrare al validate_password componente abilitando il parametro aurora_enable_validate_password_component e quindi rimuovere il plug-in tramite il comando sull'istanza di writer. UNINSTALL PLUGIN

Se in precedenza avete installato il validate_password componente manualmente utilizzandoINSTALL COMPONENT 'file://component_validate_password', assicuratevi di aver impostato il aurora_enable_validate_password_component parametro nel gruppo di parametri del cluster DB di destinazione durante l'aggiornamento. Dopo l'aggiornamento, il componente non sarà più elencato nella tabella. mysql.component È possibile utilizzare la variabile aurora_enable_validate_password_component globale per verificare lo stato del componente.

Al primo avvio del motore DB dopo l'aggiornamento, verrà visualizzato il seguente messaggio nel registro degli errori MySQL se in precedenza il componente era stato installato manualmente:

Component 'file://component_validate_password' is being removed from mysql.component table.
validate_password component can be enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.

L'upgrade precheck aurora ValidatePasswordPluginCheck avvisa se il validate_password plugin è installato nel cluster di origine. Questo avviso non blocca l'aggiornamento, ma è necessario pianificare la transizione al componente dopo l'aggiornamento.

Nuovi privilegi dinamici

Aurora MySQL versione 8.4 supporta i seguenti nuovi privilegi:

  • ALLOW_NONEXISTENT_DEFINER

  • FLUSH_PRIVILEGES

  • OPTIMIZE_LOCAL_TABLE

  • SET_ANY_DEFINER

Questi privilegi vengono concessi automaticamente agli account utente master durante Privilegi dell'account utente master l'aggiornamento.

Applicazione protetta da parte degli utenti per rdsproxyadmin

A partire dalla versione 8.4.7 di Aurora MySQL, è un utente protetto. rdsproxyadmin Il motore rifiutaCREATE,, DROP RENAME GRANTREVOKE, e SET PASSWORD opera su qualsiasi host. rdsproxyadmin Per l'elenco completo delle operazioni rifiutate e degli errori di esempio, consultateUtenti riservati in Aurora MySQL.

Aurora MySQL versione 3 non riserva il nome. rdsproxyadmin Se hai creato un utente del database denominato rdsproxyadmin nella versione 3 (anziché lasciare che sia il sistema a crearlo quando registri una destinazione proxy), consulta questa sezione prima di eseguire l'aggiornamento alla versione 8.4.

Prima dell’aggiornamento

Se hai creato un rdsproxyadmin utente nel cluster della versione 3, rinomina o elimina l'account prima di eseguire l'aggiornamento alla versione 8.4. Puoi utilizzare una connessione alla versione 3 per eseguire una delle seguenti istruzioni:

-- Rename the existing account to a non-reserved name
RENAME USER 'rdsproxyadmin'@'host' TO 'new_user'@'host';

-- Or drop the account if it is no longer needed
DROP USER 'rdsproxyadmin'@'host';

Aggiornate tutte le applicazioni o le credenziali memorizzate che fanno riferimento al vecchio nome utente prima di iniziare l'aggiornamento.

Se non rinomini o elimini l'utente prima dell'aggiornamento

Se si aggiorna un cluster che ha già un rdsproxyadmin utente creato, l'aggiornamento viene completato correttamente. L'account viene mantenuto con la password e i privilegi esistenti ed è ancora possibile connettersi al cluster rdsproxyadmin utilizzando la password originale.

Tuttavia, dopo l'aggiornamento, non è possibile modificare l'account. Se si tenta di eliminare, rinominare, modificare i privilegi o modificare la password dirdsproxyadmin, l'istruzione restituisce un errore.

Se desideri rimuovere l'account dopo l'aggiornamento o recuperare il rdsproxyadmin nome da utilizzare per RDS Proxy, contatta l'assistenza AWS . AWS Support può rimuovere un rdsproxyadmin utente preesistente riportato dalla versione 3.