据我所知,访问RDS最安全的方式是您的服务(访问RDS数据库)也在AWS上运行。
另一种选择是通过将服务的IP列入白名单来控制具有安全性的访问。然而,在Heroku这样的基础设施上运行的服务并不提供静态IP(据我所知),只有IP范围。
我的情况是,我在Heroku中有一个API服务,我想访问AWS RDS数据库。从Heroku(或其他外部服务)授予访问RDS数据库的最佳和最安全的方式是什么,因为Heroku没有为应用程序分配静态IP。
以下是我不想考虑的解决方案。
- 创建分配给RDS示例的安全组,允许所有连接(0.0.0.0/0),然后使用密码保护RDS
- 将我的API服务迁移到AWS
2条答案
按热度按时间ct2axkht1#
我建议考虑在Heroku上使用QuotaGuard static IP addresses。
QuotaGuard Static是Heroku Static IP插件,允许您通过静态IP地址路由入站和出站流量。您可以将此静态IP地址提供给API合作伙伴,以获得基于IP的允许列表,并打开自己的防火墙以访问内部资源。
我将使用此插件来确保所有来自计算层的出站流量使用静态IP,然后可以将其列入RDS安全组的白名单。
您可以考虑的一个更安全的选择是在Heroku私有空间和AWS VPC之间设置private network space peering。
ajsxfq5m2#
你想要最安全的方法吗?或者是你实际上能够实现的合理安全的东西,而不需要花费$$s和几个月的工作?
对于后者,使用VPN。