- 最新动态
- 功能总览
-
服务公告
- 漏洞公告
-
产品公告
- 【停售公告】华为云云数据库RDS for PostgreSQL 12版本于2025年5月1日00:00(北京时间)停售通知
- 【下线公告】华为云云数据库RDS for PostgreSQL 10、11版本于2024年11月1日00:00(北京时间)下线通知
- 【停售公告】华为云云数据库RDS for MySQL 5.6版本于2024年7月1日00:00(北京时间)停售通知
- 【停售公告】华为云云数据库RDS for PostgreSQL 10、11版本于2024年7月1日00:00(北京时间)停售通知
- 【下线公告】华为云云数据库RDS for PostgreSQL 9.5、9.6版本于2024年7月1日00:00(北京时间)下线通知
- 【通知】2024年5月28日起RDS for MySQL内存加速特性开放公测
- 产品发布说明
- 产品介绍
- 计费说明
- 快速入门
- 内核介绍
-
用户指南
- RDS for MySQL用户指南
- RDS for MariaDB用户指南
- RDS for PostgreSQL用户指南
- RDS for SQL Server用户指南
-
最佳实践
- RDS最佳实践汇总
- RDS for MySQL
- RDS for PostgreSQL
-
RDS for SQL Server
- 恢复备份文件到RDS for SQL Server实例的版本限制
- 使用导入导出功能将ECS上的SQL Server数据库迁移到RDS for SQL Server
- 修改RDS for SQL Server实例的参数
- RDS SQL Server支持DMV动态管理视图
- 使用导入导出功能将本地SQL Server数据库迁移到RDS for SQL Server
- 在rdsuser主账号下创建子账号
- 创建tempdb临时数据文件
- Microsoft SQL Server发布与订阅
- RDS for SQL Server添加c#CLR程序集的使用方法
- RDS for SQL Server添加链接服务器
- RDS for SQL Server 如何将线下SSRS报表服务部署上云
- RDS for SQL Server收缩数据库
- 使用DAS在RDS for SQL Server主备实例上分别创建和配置Agent Job和Dblink
- 创建实例定期维护job
- 使用扩展事件
- 性能白皮书
-
API参考
- 使用前必读
- API概览
- 如何调用API
- API v3.1(推荐)
-
API v3(推荐)
- 查询API版本
- 查询数据库引擎的版本
- 查询数据库规格
- 查询数据库磁盘类型
- 获取磁盘空间使用量
-
实例管理
- 创建数据库实例
- 创建数据库实例(v5接口)
- 按需转包周期
- 停止实例
- 开启实例
- 修改实例名称
- 修改实例备注
- 申请内网域名
- 修改内网域名
- 查询实例域名
- 查询实例IPv6域名
- 获取实例的复制状态
- 查询数据库可变更规格接口
- 变更数据库实例的规格
- 扩容数据库实例的磁盘空间
- 设置自动扩容策略
- 查询自动扩容策略
- 单机转主备实例
- 重启数据库实例
- 删除数据库实例
- 查询数据库实例列表
- 绑定和解绑弹性公网IP
- 切换主备实例的倒换策略
- 手动倒换主备
- 更改主备实例的数据同步方式
- 设置实例读写状态
- 迁移主备实例的备机
- 设置可维护时间段
- 升级内核小版本
- 设置秒级监控策略
- 查询秒级监控策略
- 开启实例TDE(SQL Server)
- 查询实例TDE状态(SQL Server)
- 解除节点只读状态
- 灾备实例
- 数据库安全性
- 备份与恢复
- 大版本升级
- 获取日志信息
- 实例诊断
- SQL限流(PostgreSQL)
- 数据库代理(MySQL)
- 管理数据库和用户(MySQL)
- 管理数据库和用户(PostgreSQL)
- 管理数据库和用户(SQL Server)
- 参数管理
- 插件管理(PostgreSQL)
- 配置只读延迟库(PostgreSQL)
- 回收站
- 标签管理
- 配额管理
- 获取任务信息
- 历史API
- 权限和授权项
- 附录
- SDK参考
-
常见问题
-
产品咨询
- 使用RDS要注意些什么
- RDS实例是否会受其他用户实例的影响
- 不同RDS实例的CPU和内存是否共享
- 创建RDS实例需要多长时间
- 为何使用了RDS后网站登录较慢
- 主备同步存在多长时间的延迟
- 多台弹性云服务器是否可以使用同一个RDS数据库
- RDS购买磁盘加密后,备份文件会加密吗
- 什么是RDS实例可用性
- 云数据库RDS支持跨AZ高可用吗
- RDS是否支持主备实例变更为单机实例
- RDS for MySQL与TaurusDB的区别
- 云数据库RDS是否支持CloudPond
- RDS for MySQL实例支持哪些加密函数
- RDS for MySQL是否兼容MariaDB
- RDS for MySQL是否支持TokuDB
- RDS for MySQL开启GTID后有哪些限制
- RDS for MySQL是否有单表尺寸限制
- 登录RDS实例时能使用加密密码认证吗
- RDS实例内网IP和私有IP的区别
- 找不到我的RDS资源怎么办
- 资源冻结/释放/停止/删除/退订
- 资源及磁盘管理
-
数据库连接
- RDS实例连接失败怎么办
- RDS数据库连接数满的排查思路
- RDS数据库实例支持的最大数据连接数是多少
- 内网方式下ECS无法连接RDS实例的原因
- 客户端问题导致连接RDS实例失败
- 服务端问题导致连接RDS实例失败
- 应用程序是否需要支持自动重连RDS数据库
- RDS绑定公网IP后无法ping通的解决方案
- RDS跨地域内网能访问吗
- 为什么RDS实例重置密码后新密码没有生效
- 可以访问RDS备实例吗
- 如何查看RDS for MySQL数据库的连接情况
- 连接RDS for SQL Server数据库时,连接超时是否会自动退出
- RDS for SQL Server连接不上的判断方法
- 外部服务器能否访问RDS数据库
- ECS内网访问RDS,是否受带宽限制
- 如何安装SQL Server Management Studio
- 数据库迁移
-
数据库权限
- RDS的root账号为什么没有super权限
- RDS ManageAccess权限和DAS权限有什么区别
- 本地客户端连接RDS实例后如何查看已授权的数据库
- 使用DAS登录RDS数据库是否有人数限制,密码多次输入错误有无锁死机制
- RDS for MySQL是否支持多账号
- 普通用户在postgres数据库下创建对象失败
- 删除RDS for PostgreSQL数据库中的角色失败
- RDS for PostgreSQL数据迁移过程中由于权限问题导致迁移报错
- 如何给RDS for PostgreSQL数据库中的用户赋予REPLICATION权限
- 更改云数据库 RDS for PostgreSQL数据库中表的OWNER报错
- RDS for SQL Server 2017 企业版主备实例的登录名权限如何同步到只读实例
- RDS for SQL Server中主实例的账号删除重建后,权限是否会自动同步
- 数据库存储
- 数据库基本使用
- 备份与恢复
- 只读实例和读写分离
- 数据库监控
- 扩容及规格变更
-
数据库参数修改
- RDS是否支持使用SQL命令修改全局参数
- 如何修改RDS实例的时区
- 如何设置RDS for MySQL 8.0字符集的编码格式
- 如何设置RDS for MySQL的表名是否区分大小写
- 如何设置RDS for MySQL实例开启查询缓存
- 如何设置RDS for MySQL实例的密码过期策略
- 如何修改RDS for MySQL实例的事务隔离等级
- 如何确保RDS for MySQL数据库字符集正确
- 如何使用utf8mb4字符集存储emoji表情到RDS for MySQL实例
- RDS for PostgreSQL的哪些参数设置不合理会导致数据库不可用
- 如何设置RDS for PostgreSQL实例的临时文件磁盘占用上限
- 如何设置RDS for PostgreSQL实例支持test_decoding插件
- 如何在RDS for SQL Server数据库添加ndf文件的路径
- 如何修改RDS for SQL Server字符集的排序规则
- 日志管理
- 网络安全
- 版本升级
- RDS API&SDK等开发者相关
-
产品咨询
-
故障排除
-
RDS for MySQL
- 备份恢复
- 主备复制
- 参数类
-
性能资源类
- CPU使用率高问题排查与优化
- 内存使用超限风险与优化
- 磁盘性能带宽超上限
- 联合索引设置不当导致慢SQL
- 数据库磁盘满导致被设置read_only
- Binlog未清理导致磁盘占用高
- 业务死锁导致响应变慢
- MySQL只读实例磁盘占用远超主实例
- RDS for MySQL CPU升高定位思路
- 冷热数据问题导致sql执行速度慢
- 表碎片率过高可能导致的问题
- 复杂查询造成磁盘满
- 怎么解决查询运行缓慢的问题
- 长事务导致规格变更或小版本升级失败
- RDS for MySQL数据库报错Native error 1461的解决方案
- RDS for MySQL增加表字段后出现运行卡顿现象
- 长事务导致UNDO增多引起磁盘空间满
- RDS for MySQL如何定位一直存在的长事务告警
- RDS for MySQL部分SQL的commit时间偶现从几毫秒陡增到几百毫秒
- ibdata1为什么会变大
-
SQL类
- RDS for MySQL执行SQL报错无法识别双引号
- 更新emoji表情数据报错Error 1366
- 索引长度限制导致修改varchar长度失败
- 建表时timestamp字段默认值无效
- 自增属性AUTO_INCREMENT为什么未在表结构中显示
- 存储过程和相关表字符集不一致导致执行缓慢
- RDS MySQL报错ERROR [1412]的解决方法
- 创建二级索引报错Too many keys specified
- 存在外键的表删除问题
- distinct与group by优化
- 字符集和字符序的默认选择方式
- MySQL创建用户提示服务器错误
- delete大表数据后,再次查询同一张表时出现慢SQL
- 设置事件定时器后未生效
- 为什么有时候用浮点数做等值比较查不到数据
- 开通数据库代理后有大量select请求分发到主节点
- 执行RENAME USER失败的解决方法
- 有外键的表无法删除报错ERROR[1451]的解决方案
- 表字段类型转换失败的解决方法
- RDS for MySQL创建表失败报错Row size too large的解决方案
- RDS for MySQL数据库报错ERROR [1412]的解决方案
- 外键使用不规范导致实例重启失败或执行表操作报错ERROR 1146: Table 'xxx' doesn't exist
- RDS for MySQL在分页查询时报错:Out of sort memory, consider increasing server sort buffer size
- RDS for MySQL创建用户报错:Operation CREATE USER failed
- RDS for MySQL使用grant授权all privileges报语法错误
- RDS for MySQL 5.6版本实例创建表报错
- 无主键表添加自增主键后导致主备节点查询数据不一致
- RDS for MySQL插入数据提示Data too long for column
-
连接类
- 连接数据库报错Access denied
- mariadb-connector SSL方式连接数据库失败
- RDS for MySQL建立连接慢导致客户端超时报connection established slowly
- root账号的ssl_type修改为ANY后无法登录
- 通过DAS登录实例报错Client does not support authentication protocol requested by server
- 通过DAS授权或取消授权时报错Your password does not satisfy the current policy requirements
- 客户端TLS版本与RDS for MySQL不一致导致SSL连接失败
- 使用root账号连接数据库失败
- RDS for MySQL客户端连接实例后会自动断开
- RDS for MySQL实例无法访问
- RDS for MySQL数据库修改authentication_string字段为显示密码后无法登录
- RDS for MySQL升级版本后,导致现有配置无法正常连接到MySQL-server
- 客户端超时参数设置不当导致连接超时退出
- RDS for MySQL在启用了SSL验证连接功能后,导致代码(php/java/python)等连接数据库失败
- istio-citadel证书机制导致每隔45天出现断连
- 数据库版本升级后Navicat客户端登录实例报错1251
-
其他使用问题
- 慢日志显示SQL语句扫描行数为0
- SQL诊断结果中记录的行数远小于慢日志中的扫描行数
- RDS for MySQL慢日志里面有毫秒级别的SQL
- 查看RDS存储空间使用量
- 错误日志报错The table is full
- 审计日志上传策略说明
- 自增字段取值
- 表的自增AUTO_INCREMENT初值与步长
- 表的自增AUTO_INCREMENT超过数据中该字段的最大值加1
- 自增字段值跳变的原因
- 修改表的自增AUTO_INCREMENT值
- 自增主键达到上限,无法插入数据
- 空用户的危害
- pt-osc工具连接RDS for MySQL主备实例卡住
- 购买RDS实例支付报错:Policy doesn't allow bss:order:update to be performed
- RDS for MySQL是否可以修改数据库名称
- 购买RDS实例报错:无IAM的agency相关权限
- RDS for PostgreSQL
- RDS for SQL Server
-
RDS for MySQL
- 视频帮助
- 产品术语
-
更多文档
-
用户指南(阿布扎比区域)
- 产品介绍
- MySQL快速入门
- PostgreSQL快速入门
- SQL Server快速入门
- MySQL用户指南
- PostgreSQL用户指南
- SQL Server用户指南
- 常见问题
- API参考 (阿布扎比区域)
- 用户指南(巴黎区域)
- API参考(巴黎区域)
-
用户指南(吉隆坡区域)
- 产品介绍
- MySQL快速入门
- PostgreSQL快速入门
- SQL Server快速入门
- MySQL用户指南
- PostgreSQL用户指南
- SQL Server用户指南
- 常见问题
- API参考(吉隆坡区域)
-
用户指南(安卡拉区域)
- 产品介绍
- RDS for MySQL快速入门
- RDS for PostgreSQL快速入门
- RDS for MySQL用户指南
- RDS for PostgreSQL用户指南
-
常见问题
- 产品咨询
- 资源及磁盘管理
-
数据库连接
- RDS实例连接失败怎么办
- 外部服务器能否访问RDS数据库
- RDS数据库连接数满的排查思路
- RDS数据库实例支持的最大数据连接数是多少
- 如何创建和连接ECS
- 内网方式下ECS无法连接RDS实例的原因
- 客户端问题导致连接失败
- 服务端问题导致连接失败
- 应用程序是否需要支持自动重连数据库
- 如何通过JDBC连接RDS for PostgreSQL数据库
- 绑定公网IP后无法ping通的解决方案
- 如何定位本地IP地址
- RDS跨地域内网能访问吗
- 为什么重置密码后新密码没有生效
- 如何设置MySQL8.0字符集的编码格式
- ECS和RDS部署在不同的VPC网络不通怎么办
- 如何查看当前时间所有连接数据库的IP
- RDS备实例能够访问吗
- 如何判断RDS for MySQL数据库是否被连接使用
- 数据库迁移
- 数据库权限
- 数据库存储
- 安装客户端
- 数据库基本使用
- 备份与恢复
- 数据库监控
- 扩容及规格变更
- 数据库参数修改
- 网络安全
- 版本升级
- 修订记录
- API参考(安卡拉区域)
-
用户指南(阿布扎比区域)
- 通用参考
链接复制成功!
RDS for MySQL安全最佳实践
安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担。
本文提供了RDS for MySQL使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估RDS for MySQL的安全状态,更好的组合使用RDS for MySQL提供的多种安全能力,提高对RDS for MySQL的整体安全防御能力,保护存储在RDS for MySQL的数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估RDS for MySQL使用情况,并根据业务需要在本指导的基础上进行安全配置。
- 完善数据库连接相关配置,减少被网络攻击的风险
- 妥善进行数据库账号密码管理,减少数据泄露风险
- 加强权限管理,减少相关风险
- 开启数据库审计,便于事后回溯
- 开启备份功能,完善备份相关配置,保障数据可靠性
- 加密存储数据
- 加固数据库敏感参数
- 使用最新版本数据库获得更好的操作体验和更强的安全能力
- 使用其他云服务进一步增强对数据的安全防护
完善数据库连接相关配置,减少被网络攻击的风险
- 建议避免绑定EIP直接通过互联网访问RDS for MySQL
避免RDS for MySQL部署在互联网或者DMZ里,应该将RDS for MySQL部署在公司内部网络,使用路由器或者防火墙技术把RDS for MySQL保护起来,避免直接绑定EIP方式从互联网访问RDS for MySQL。通过这种方式防止未授权的访问及DDos攻击等。建议解绑弹性公网IP外部连接,如果您的业务必须绑定EIP,请务必通过设置安全组规则限制访问数据库的源IP。
- 避免使用默认端口号
MySQL的默认端口号为3306,此端口会更容易受到恶意人员的攻击。建议您为数据库实例修改数据库端口。
- 确保限制数据库用户的可用资源
如果不限定数据库用户的可用资源,数据库在受到攻击时,可能会出现系统过载,导致服务DOS。限定数据库用户的可用资源,防止资源过度占用导致的资源过度消耗。您需要结合业务模型给出合理值,避免在高负载场景下影响业务可用性。
配置SQL语句如下:
alter user '<user>'@'<hostname>' with max_queries_per_hour <queries_num>; alter user '<user>'@'<hostname>' with max_user_connections <connections_num>; alter user '<user>'@'<hostname>' with max_updates_per_hour <updates_num>; alter user '<user>'@'<hostname>' with max_connections_per_hour <connections_per_hour>;
- <user>表示需要做资源设置的用户名。
- <hostname>表示需要做资源设置的用户hostname。
- <queries_num>表示设置的数据库允许用户的每小时最大查询数。
- <connections_num>表示设置的数据库允许用户的最大连接数。
- <updates_num>表示设置的数据库允许用户的每小时最大更新数。
- <connections_per_hour>表示设置的数据库允许用户的每小时最大连接数。
- 确保用户主机名不使用通配符“%”
MySQL用户主机名指定用户可用于连接的主机,对应user表中的host字段。主机名设置为通配符“%”时,标识用户接受来自任何IP的连接,从而导致扩大数据库的攻击范围。为了减小受攻击范围,建议您修改主机IP为特定网段或具体IP。
- 确保限制数据库连接闲置等待时间
MySQL服务器的每个连接建立都会消耗内存,且所支持的最大连接数也有上限,如果MySQL Server有大量的闲置连接,不仅会白白消耗内存,而且如果连接一直累加而不断开,最终会达到MySQL Server的连接上限数,新建连接就会报“too many connections”错误。所以应该设置闲置连接的等待时间,确保及时清除闲置连接。请参考修改实例参数修改“wait_timeout”和“interactive_timeout”,具体值需您根据业务自行审视。
- 确保默认开启SSL
如未配置SSL加密通信,那么在MySQL客户端和服务器之间传输的数据,容易受到窃听、篡改和“中间人”攻击。为了提高数据传输的安全性,建议您为数据库用户添加REQUIRE SSL属性,同时设置SSL数据加密。
配置SQL语句如下:
create user '<user>'@'<hostname>' REQUIRE SSL; alter user '<user>'@'<hostname>' REQUIRE SSL;
妥善进行数据库账号密码管理,减少数据泄露风险
- 建议定期修改管理员用户的密码
默认的数据库管理员账号root拥有较高的权限,建议您参考重置管理员密码和root账号权限定期修改root密码。
- 设置密码复杂度
数据库系统作为信息的聚集体,易成为攻击者的目标。用户需要妥善保存数据账号与密码,避免泄漏。同时建议您配置数据库密码的复杂度,避免使用弱密码。详情请参见数据库安全设置中的“设置密码复杂度”。
- 设置密码过期策略
长期使用同一个密码会增加被暴力破解和恶意猜测的风险。建议您设置密码过期策略限制使用同一个密码的时间。
加强权限管理,减少相关风险
- 禁止以管理员用户创建存储过程和函数
存储过程和函数默认以创建者的身份运行,如果管理员用户创建的存储过程和函数存在提权或其他破坏操作,那么普通用户可以提权至管理员的身份运行,因此要避免使用管理员用户创建存储过程和函数。
- 审视并加固权限相关配置
请用户审视如下权限配置是否符合安全要求,如有出入您需要自行完成配置加固:
- 确保mysql.user表只有管理员用户才能操作。
- 确保Process_priv权限只能赋予管理员用户。
- 确保Create_user_priv权限只能赋予管理员用户。
- 确保Grant_priv权限只能管理员管理员用户。
- 确保Reload_priv权限只能赋予管理员用户。
- 确保复制账号有且只能有replication slave权限。
- 确保数据库指标监控用户有且只能有replication client权限。
示例:如有非管理员用户拥有Process权限,请执行如下SQL取消Process权限。
revoke process on *.* from <your_account>;
其中,<your_account>表示需取消Process权限的用户名。
开启数据库审计,便于事后回溯
数据库审计功能可以实时记录用户对数据库的所有相关操作。通过对用户访问数据库行为的记录、分析和汇报,用来帮助您事后生成合规报告、事故追根溯源,提高数据资产安全性。详情请参见开启SQL审计日志。
开启备份功能,完善备份相关配置,保障数据可靠性
- 开启数据备份
RDS for MySQL实例支持自动备份和手动备份,您可以定期对数据库进行备份,当数据库故障或数据损坏时,可以通过备份文件恢复数据库,从而保证数据可靠性。详情请参见数据备份。
- 配置MySQL binlog日志清理策略
Binlog日志会随着业务的运行而持续膨胀,需要配置清零策略避免磁盘膨胀。请您参考设置RDS for MySQL本地Binlog日志清理设置Binlog保存时间。
加固数据库敏感参数
- 建议“local_infile”参数配置为OFF
“local_infile”设置为ON时,将允许数据库客户端通过load data local语法将客户端本地文件加载到数据库表中。例如,在web服务器作为数据库客户端连接数据库的场景,如果web服务器存在SQL注入漏洞,那么攻击者可用构造load data local命令将web服务器的敏感文件加载到数据库中,从而造成信息泄露。建议您参考修改实例参数配置“local_infile”的值为OFF。
- 建议“sql_mode”参数包含“STRICT_ALL_TABLES”
攻击者在试图攻击时会试错性输入各种参数,若服务器自适应错误语句,将有可能泄漏数据库数据。因此推荐使用“STRICT_ALL_TABLES”,即使错误出现在首行后的其他行,一旦发现非法数据值就会放弃语句。这种用法能最大限度的保证数据库信息不被泄露。建议您参考修改实例参数配置“sql_mode”参数包含“STRICT_ALL_TABLES”。
使用最新版本数据库获得更好的操作体验和更强的安全能力
MySQL社区不定期披露新发现的漏洞,RDS for MySQL会评估数据库内核版本的实际风险,发布新的数据库内核版本。为了提升数据库系统的易用性和安全性,建议您使用最新版本数据库。