Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Considerazioni sulla sicurezza per l'aggiornamento da Aurora MySQL versione 3 alla versione 8.4
Durante la migrazione da Aurora MySQL versione 3 (compatibile con MySQL 8.0) ad Aurora MySQL versione 8.4, diverse importanti modifiche relative alla sicurezza richiedono un'attenta pianificazione e considerazione. Questa guida descrive le principali modifiche alla sicurezza e fornisce consigli per una migrazione senza problemi.
**Topics**
+ [Politica di autenticazione (nuova nella versione 8.4)](#AuroraMySQL.Upgrade-v3-v84-security.auth-policy)
+ [Comportamento dell'utente principale](#AuroraMySQL.Upgrade-v3-v84-security.master-user)
+ [Crittografia e modifiche TLS](#AuroraMySQL.Upgrade-v3-v84-security.tls)
+ [Migrazione dei componenti di convalida della password](#AuroraMySQL.Upgrade-v3-v84-security.validate-password)
+ [Nuovi privilegi dinamici](#AuroraMySQL.Upgrade-v3-v84-security.new-privileges)
+ [`Applicazione protetta da parte degli utenti per rdsproxyadmin`](#AuroraMySQL.Upgrade-v3-v84-security.rdsproxyadmin)
## Politica di autenticazione (nuova nella versione 8.4)
Aurora MySQL versione 3 (compatibile con MySQL 8.0) utilizza il `default_authentication_plugin` parametro per configurare il plug-in di autenticazione predefinito utilizzato durante la creazione degli utenti del database. Nella versione 8.4 di Aurora MySQL, questo parametro viene sostituito dal parametro, impostato su di default. `authentication_policy` `*:caching_sha2_password`
Valori supportati in Aurora MySQL:
+ `*:caching_sha2_password`(Valore predefinito. Consente qualsiasi plug-in di autenticazione a fattore singolo, utilizzandolo `caching_sha2_password` se non ne è specificato nessuno)
+ `*:mysql_native_password`(Consente qualsiasi plug-in di autenticazione a fattore singolo, utilizzandolo `mysql_native_password` se non ne è specificato nessuno)
**Nota**
Multi-factor le configurazioni di autenticazione non sono supportate in Aurora MySQL versione 8.4.
L'upgrade precheck [deprecated DefaultAuth](AuroraMySQL.upgrade-prechecks.descriptions.md#deprecatedDefaultAuth) avvisa se il cluster di origine è impostato su. `default_authentication_plugin` `mysql_native_password` Leggi questo avviso e configura il `authentication_policy` parametro nel gruppo di parametri del cluster di destinazione durante l'aggiornamento.
## Comportamento dell'utente principale
### Nuovi cluster
L'utente principale viene creato con il plug-in di autenticazione impostato dal `authentication_policy` parametro al momento della creazione del cluster. Se si utilizza il gruppo di parametri predefinito, l'utente principale viene creato con il plug-in di `caching_sha2_password` autenticazione. Se si utilizza un gruppo di parametri personalizzato con il `authentication_policy` parametro impostato su`*:mysql_native_password`, l'utente principale viene creato con il plug-in di `mysql_native_password` autenticazione.
### Reimpostazione della password dell'utente principale
Quando si reimposta la password dell'utente principale Console di gestione AWS, tramite CLI (`modify-db-cluster --master-user-password`) o API, Aurora utilizza il plug-in predefinito corrente definito dal `authentication_policy` parametro al momento del ripristino.
### Secrets Manager e rotazione delle password
Quando si utilizza Gestione dei segreti AWS per gestire la password dell'utente principale, se si aggiorna il valore del `authentication_policy` parametro, la rotazione successiva della password imposterà il plug-in di autenticazione dell'utente principale in modo che corrisponda al nuovo valore del `authentication_policy` parametro.
### Utenti del database creati dopo l'aggiornamento
Gli utenti esistenti del database che utilizzano il plug-in di `mysql_native_password` autenticazione continuano a funzionare dopo l'aggiornamento. Gli utenti del database creati dopo l'aggiornamento senza specificare alcuna `IDENTIFIED WITH` clausola utilizzano il plug-in di autenticazione definito dal `authentication_policy` parametro. Quando il parametro ha il valore predefinito di`*:caching_sha2_password`, i nuovi utenti vengono creati con il plug-in di `caching_sha2_password` autenticazione.
Per modificare il plug-in di autenticazione predefinito per tutti i nuovi utenti, aggiorna il valore di`authentication_policy`. Per ulteriori informazioni sui valori supportati, consulta[Politica di autenticazione (nuova nella versione 8.4)](#AuroraMySQL.Upgrade-v3-v84-security.auth-policy).
Per creare un utente con un plug-in di autenticazione diverso da quello predefinito, specificalo esplicitamente nella `CREATE USER` dichiarazione:
```
CREATE USER '{{username}}'@'{{host}}' IDENTIFIED WITH {{authentication-plugin}} BY '{{password}}';
```
## Crittografia e modifiche TLS
Per richiedere TLS per tutte le connessioni utente al cluster Aurora MySQL DB, usa il parametro DB cluster. `require_secure_transport` Per impostazione predefinita, questo parametro è impostato `ON` su Aurora MySQL versione 8.4.
Aurora MySQL versione 8.4 applica standard crittografici più rigorosi in linea con i più recenti requisiti di sicurezza sui parametri del cluster DB (TLS 1.2) e `ssl_ciphers` (TLS 1.3). `tls_ciphersuites` Per ulteriori informazioni, consulta [Sicurezza con Amazon Aurora MySQL](AuroraMySQL.Security.md).
Per evitare interruzioni della connessione, verifica le configurazioni TLS per il client MySQL e il cluster DB di destinazione prima della migrazione.
## Migrazione dei componenti di convalida della password
Aurora MySQL versione 8.4 introduce il parametro `aurora_enable_validate_password_component` cluster per abilitare o disabilitare il `validate_password` componente, eliminando la necessità di installarlo o disinstallarlo manualmente. Se il `validate_password` plug-in è stato precedentemente installato e da allora lo avete abilitato dopo l'aggiornamento, solo il componente è efficace: il plug-in viene ignorato.
A partire dalla versione 8.4 di Aurora MySQL, se in precedenza avevi installato il `validate_password` plug-in tramite il `INSTALL PLUGIN` comando, puoi migrare al `validate_password` componente abilitando il parametro `aurora_enable_validate_password_component` e quindi rimuovere il plug-in tramite il comando sull'istanza di writer. `UNINSTALL PLUGIN`
Se in precedenza avete installato il `validate_password` componente manualmente utilizzando`INSTALL COMPONENT 'file://component_validate_password'`, assicuratevi di aver impostato il `aurora_enable_validate_password_component` parametro nel gruppo di parametri del cluster DB di destinazione durante l'aggiornamento. Dopo l'aggiornamento, il componente non sarà più elencato nella tabella. `mysql.component` È possibile utilizzare la variabile `aurora_enable_validate_password_component` globale per verificare lo stato del componente.
Al primo avvio del motore DB dopo l'aggiornamento, verrà visualizzato il seguente messaggio nel registro degli errori MySQL se in precedenza il componente era stato installato manualmente:
```
Component 'file://component_validate_password' is being removed from mysql.component table.
validate_password component can be enabled/disabled through 'aurora_enable_validate_password_component' cluster parameter.
```
L'upgrade precheck [aurora ValidatePasswordPluginCheck](AuroraMySQL.upgrade-prechecks.descriptions.md#auroraValidatePasswordPluginCheck) avvisa se il `validate_password` plugin è installato nel cluster di origine. Questo avviso non blocca l'aggiornamento, ma è necessario pianificare la transizione al componente dopo l'aggiornamento.
## Nuovi privilegi dinamici
Aurora MySQL versione 8.4 supporta i seguenti nuovi privilegi:
+ `ALLOW_NONEXISTENT_DEFINER`
+ `FLUSH_PRIVILEGES`
+ `OPTIMIZE_LOCAL_TABLE`
+ `SET_ANY_DEFINER`
Questi privilegi vengono concessi automaticamente agli account utente master durante [Privilegi dell'account utente master](UsingWithRDS.MasterAccounts.md) l'aggiornamento.
## `Applicazione protetta da parte degli utenti per rdsproxyadmin`
A partire dalla versione 8.4.7 di Aurora MySQL, è un utente protetto. `rdsproxyadmin` Il motore rifiuta`CREATE`,, `DROP` `RENAME` `GRANT``REVOKE`, e `SET PASSWORD` opera su qualsiasi host. `rdsproxyadmin` Per l'elenco completo delle operazioni rifiutate e degli errori di esempio, consultate[Utenti riservati in Aurora MySQL](AuroraMySQL.Security.md#AuroraMySQL.Security.ReservedUsers).
Aurora MySQL versione 3 non riserva il nome. `rdsproxyadmin` Se hai creato un utente del database denominato `rdsproxyadmin` nella versione 3 (anziché lasciare che sia il sistema a crearlo quando registri una destinazione proxy), consulta questa sezione prima di eseguire l'aggiornamento alla versione 8.4.
### Prima dell’aggiornamento
Se hai creato un `rdsproxyadmin` utente nel cluster della versione 3, rinomina o elimina l'account prima di eseguire l'aggiornamento alla versione 8.4. Puoi utilizzare una connessione alla versione 3 per eseguire una delle seguenti istruzioni:
```
-- Rename the existing account to a non-reserved name
RENAME USER 'rdsproxyadmin'@'{{host}}' TO '{{new_user}}'@'{{host}}';
-- Or drop the account if it is no longer needed
DROP USER 'rdsproxyadmin'@'{{host}}';
```
Aggiornate tutte le applicazioni o le credenziali memorizzate che fanno riferimento al vecchio nome utente prima di iniziare l'aggiornamento.
### Se non rinomini o elimini l'utente prima dell'aggiornamento
Se si aggiorna un cluster che ha già un `rdsproxyadmin` utente creato, l'aggiornamento viene completato correttamente. L'account viene mantenuto con la password e i privilegi esistenti ed è ancora possibile connettersi al cluster `rdsproxyadmin` utilizzando la password originale.
Tuttavia, dopo l'aggiornamento, non è possibile modificare l'account. Se si tenta di eliminare, rinominare, modificare i privilegi o modificare la password di`rdsproxyadmin`, l'istruzione restituisce un errore.
[Se desideri rimuovere l'account dopo l'aggiornamento o recuperare il `rdsproxyadmin` nome da utilizzare per RDS Proxy, contatta l'assistenza AWS .](https://aws.amazon.com/premiumsupport/) AWS Support può rimuovere un `rdsproxyadmin` utente preesistente riportato dalla versione 3.