13、云安全防护与通信加密：从数据库权限到 HTTPS 保障

云安全防护与通信加密：从数据库权限到 HTTPS 保障

1. 数据库权限控制

1.1 权限授予

为了增强数据库的安全性，需要对不同角色授予特定的权限。例如，对 invoicer_app 角色授予如下权限：

GRANT UPDATE, DELETE ON sessions TO invoicer_app;
GRANT USAGE
ON charges_id_seq, invoices_id_seq TO invoicer_app;

1.2 配置修改

授予权限后，需要编辑之前创建的发票开具应用（invoicer）的 Elastic Beanstalk 配置。将当前保存数据库管理员密码的环境变量 INVOICER_POSTGRES_USER 和 INVOICER_POSTGRES_PASSWORD 替换为使用 invoicer_app 角色的相应值。配置更改后，Elastic Beanstalk（EB）将使用新参数重新部署应用程序，此时发票开具应用将以受限权限而非管理员权限运行。

1.3 权限验证脚本

数据库权限随着时间推移和产品快速迭代，难以长期维护。为了在允许产品快速迭代的同时保持细粒度的权限控制，将权限测试纳入部署管道至关重要。以下是一个用于审计 invoicer_app 角色权限的脚本：

#