IAM 数据库凭证是否足以用于公共 RDS

Question

据我所知，将数据库服务器放在私有子网中并根据需要使用堡垒主机来访问它们是一个长期坚持的传统。但具体考虑云架构，这种设置真的有意义吗？

我很难理解的是，为什么连接到我的 RDS 服务器的可公开访问的 EC2 实例比实现 IAM 数据库身份验证的可公开访问的 RDS 实例更安全？在这两种情况下，我都会使用安全组来限制传入连接。

我正在使用 PostreSQL，根据 AWS 文档，启用 IAM 身份验证将强制执行 IAM 凭证（而对于 MySQL，我认为密码身份验证仍然有效）。

那么堡垒主机真的比 IAM 身份验证更安全吗？为什么？

Answer 1

最好的安全性具有多层安全性。例如，如果前员工拥有数据库的凭据，他们可以从公司网络外部访问该数据库吗？或者，如果有人获得了对您堡垒的访问权限，他们是否也可以获得对数据库的访问权限？

因此，是的，可以认为它足够安全，可以使用身份验证并限制对特定 IP 地址的访问。这完全取决于您的风险偏好。如果数据库包含机密信息，而这些信息一旦泄露将使您的公司非常尴尬，那么额外的安全层可能是值得的。