[...] Last, but not least: den phpMyAdmin kann ich direkt, ohne Installations- und Konfigurationswand beim Client sofort benutzen.
Es ist aber eine monströse PHP-Anwendung, die augrund ihrer Bauart (meistens) Kontrolle über den gesamten Host übernehmen kann.
Mag sein, deshalb ja: "hinter ein SSL-geschütztes HTAUTH + Login legen".
Das kann mein Heidi nicht. Da kann ich dem User XY beruhigt eine Version auf seinen Facharbeitsplatzrechner montieren und ein passendes Grant einrichten.
OK, Du hast einen Anwendungsfall, wo es stimmig sein mag und Du hast es durch den gesonderten User gut abgesichert. Moment... Apropos... Wenn Du es so machst, dann brauchst Du den Mysql-Port doch gar nicht zu öffnen und kannst einfach über die SSH-Verbindung tunneln?!
Dann wäre nämlich auch ein weiteres Problem an Deinem Setup behoben: der Mysqld selbst kann einen Bug haben. Wenn der Port zu bleibt, fällt der Angriffsvektor dafür schonmal weg.
Wie auch immer: man kann das schon so machen, aber eine generelle Empfehlung würde nicht aussprechen wollen, gerade nicht hier im Forum.