Bei der empfohlenen Konfiguration würden Sie wirklich eine RDS-DB-Instance verwenden und Ihre DB-Sicherheitsgruppe so einstellen, dass sie nur Verbindungen von den entsprechenden EC2-Sicherheitsgruppen akzeptiert. In dieser Konfiguration KÖNNEN Sie Ihren DB-Benutzer wie [email protected]%
und dennoch den Zugriff auf die Datenbank nur für die angegebenen EC2-Sicherheitsgruppen erzwingen.
Auf diese Weise verlagern Sie die Last der DB-Zugriffskontrolle auf das AWS-Sicherheitsmodell und nicht auf die MySQL-Benutzerkonfiguration. Natürlich müssten Sie DB-Benutzer immer noch so konfigurieren, dass sie nur Zugriff auf die entsprechenden Ressourcen innerhalb der DB haben.