Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit in Amazon RDS Custom
Machen Sie sich mit den Sicherheitsüberlegungen für RDS Custom vertraut.
Weitere Informationen zur Sicherheit von RDS Custom finden Sie in den folgenden Themen.
Wie RDS Custom Aufgaben in Ihrem Namen sicher verwaltet
RDSCustom verwendet die folgenden Tools und Techniken, um Operationen in Ihrem Namen sicher auszuführen:
- AWSServiceRoleForRDSCustom-Serviceverknüpfte Rolle
-
Eine serviceverknüpfte Rolle wird vom Service vordefiniert und schließt alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen benötigt. Bei RDS Custom
AWSServiceRoleForRDSCustomhandelt es sich um eine dienstbezogene Rolle, die nach dem Prinzip der geringsten Rechte definiert ist. RDSBenutzerdefiniert verwendet die Berechtigungen inAmazonRDSCustomServiceRolePolicy, der Richtlinie, die dieser Rolle zugewiesen ist, um die meisten Bereitstellungs- und alle Verwaltungsaufgaben außerhalb des Hosts auszuführen. Weitere Informationen finden Sie unter A. mazonRDSCustom ServiceRolePolicyBei der Ausführung von Aufgaben auf dem Host verwendet die RDS benutzerdefinierte Automatisierung Anmeldeinformationen aus der mit dem Dienst verknüpften Rolle, um Befehle auszuführen mit AWS Systems Manager. Sie können den Befehlsverlauf über den Systems-Manager-Befehlsverlauf und AWS CloudTrail prüfen. Systems Manager stellt über Ihr Netzwerk-Setup eine Verbindung zu Ihrer RDS benutzerdefinierten DB-Instance her. Weitere Informationen finden Sie unter Schritt 4: Konfigurieren Sie IAM für RDS Custom für Oracle.
- Temporäre IAM Anmeldeinformationen
-
Beim Bereitstellen oder Löschen von Ressourcen verwendet RDS Custom manchmal temporäre Anmeldeinformationen, die aus den Anmeldeinformationen des aufrufenden IAM Prinzipals abgeleitet werden. Diese IAM Anmeldeinformationen sind durch die mit diesem Prinzipal verknüpften IAM Richtlinien eingeschränkt und laufen nach Abschluss des Vorgangs ab. Informationen zu den Berechtigungen, die für IAM Prinzipale erforderlich sind, die RDS Benutzerdefiniert verwenden, finden Sie unterSchritt 5: Erteilen Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle die erforderlichen Berechtigungen.
- EC2Amazon-Instanzprofil
-
Ein EC2 Instance-Profil ist ein Container für eine IAM Rolle, mit dem Sie Rolleninformationen an eine EC2 Instance übergeben können. Eine EC2 Instance liegt einer RDS benutzerdefinierten DB-Instance zugrunde. Sie geben ein Instance-Profil an, wenn Sie eine RDS benutzerdefinierte DB-Instance erstellen. RDSCustom verwendet Anmeldeinformationen für das EC2 Instance-Profil, wenn es hostbasierte Verwaltungsaufgaben wie Backups ausführt. Weitere Informationen finden Sie unter Manuelles Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils.
- SSHkey pair
-
Wenn RDS Custom die EC2 Instance erstellt, die einer DB-Instance zugrunde liegt, erstellt es in Ihrem Namen ein SSH key pair. Der Schlüssel verwendet das Namenspräfix
do-not-delete-rds-custom-ssh-privatekey-db-. AWS Secrets Manager speichert diesen SSH privaten Schlüssel als Geheimnis in Ihrem AWS-Konto. Amazon speichert diese Anmeldeinformationen RDS nicht, greift nicht darauf zu und verwendet sie nicht. Weitere Informationen finden Sie unter EC2Amazon-Schlüsselpaare und Linux-Instances.
SSLZertifikate
RDSBenutzerdefinierte DB-Instances unterstützen keine verwalteten SSL Zertifikate. Wenn Sie eine Implementierung durchführen möchtenSSL, können Sie SSL Zertifikate in Ihrem eigenen Wallet selbst verwalten und einen SSL Listener erstellen, um die Verbindungen zwischen der Client-Datenbank zu sichern oder für die Datenbankreplikation. Weitere Informationen finden Sie unter Configuring Transport Layer Security Authentication
