Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon RDS Custom
Machen Sie sich mit den Sicherheitsüberlegungen für RDS Custom vertraut.
Weitere Informationen zur Sicherheit für RDS Custom finden Sie in den folgenden Themen.
+ [Schützen Ihres Amazon-S3-Buckets vor dem Problem des verwirrten Stellvertreters](custom-security.confused-deputy.md)
+ [Rotieren der Anmeldeinformationen von RDS Custom für Oracle für Compliance-Programme](custom-security.cred-rotation.md)
## So verwaltet RDS Custom Aufgaben sicher in Ihrem Namen
RDS Custom verwendet die folgenden Tools und Methoden, um Operationen in Ihrem Namen sicher auszuführen:
**AWSServiceRoleForRDSCustom serviceverknüpfte Rolle**
Eine *serviceverknüpfte Rolle* wird vom Service vordefiniert und schließt alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen benötigt. Bei RDS Custom ist `AWSServiceRoleForRDSCustom` eine serviceverknüpfte Rolle, die nach dem Prinzip der geringsten Berechtigung definiert ist. RDS Custom verwendet die Berechtigungen in `AmazonRDSCustomServiceRolePolicy`, d. h. die dieser Rolle zugeordnete Richtlinie, um die meisten Bereitstellungsaufgaben und alle nicht auf dem Host ausgeführten Verwaltungsaufgaben auszuführen. Weitere Informationen finden Sie auf [Amazon RDSCustom ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSCustomServiceRolePolicy.html).
Bei der Ausführung von Aufgaben auf dem Host verwendet RDS Custom Automation Anmeldeinformationen aus der mit dem Dienst verknüpften Rolle, um Befehle auszuführen mit AWS Systems Manager. Sie können den Befehlsverlauf über den Systems-Manager-Befehlsverlauf und AWS CloudTrail prüfen. Systems Manager stellt mithilfe Ihrer Netzwerkeinrichtung eine Verbindung mit Ihrer DB-Instance von RDS Custom her. Weitere Informationen finden Sie unter [Schritt 4: Konfigurieren von IAM für RDS Custom für Oracle](custom-setup-orcl.md#custom-setup-orcl.iam-vpc).
**Temporäre IAM-Anmeldeinformationen**
Bei der Bereitstellung oder Löschung von Ressourcen verwendet RDS Custom manchmal temporäre Anmeldeinformationen, die von den Anmeldeinformationen des aufrufenden IAM-Prinzipals abgeleitet werden. Diese IAM-Anmeldeinformationen sind durch die diesem Prinzipal zugeordneten IAM-Richtlinien eingeschränkt und laufen nach Abschluss des Vorgangs ab. Weitere Informationen zu den Berechtigungen, die für IAM-Prinzipale erforderlich sind, welche RDS Custom verwenden, finden Sie unter [Schritt 5: Erteilen Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle die erforderlichen Berechtigungen](custom-setup-orcl.md#custom-setup-orcl.iam-user).
**Das Instance-Profil von Amazon EC2**
Ein EC2-Instance-Profil ist ein Container für eine IAM-Rolle, mit dem Sie Rolleninformationen an eine EC2-Instance übergeben können. Eine EC2-Instance liegt einer benutzerdefinierten DB-Instance von RDS Custom zugrunde. Sie geben ein Instance-Profil an, wenn Sie eine DB-Instance von RDS Custom erstellen. RDS Custom verwendet Anmeldeinformationen für EC2-Instance-Profile, wenn es hostbasierte Verwaltungsaufgaben wie Backups ausführt. Weitere Informationen finden Sie unter [Manuelles Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils](custom-setup-orcl.md#custom-setup-orcl.iam).
**SSH-Schlüsselpaar**
Wenn RDS Custom die EC2-Instance erstellt, die einer DB-Instance zugrunde liegt, wird in Ihrem Namen ein SSH-Schlüsselpaar erstellt. Der Schlüssel verwendet das Namenspräfix `do-not-delete-rds-custom-ssh-privatekey-db-` oder `rds-custom!oracle-do-not-delete-db_resource_id-uuid-ssh-privatekey`. AWS Secrets Manager speichert diesen privaten SSH-Schlüssel als Secret in Ihrem AWS-Konto. Amazon RDS speichert diese Anmeldeinformationen nicht, greift nicht auf sie zu und verwendet sie auch nicht. Weitere Informationen finden Sie unter [Amazon-EC2-Schlüsselpaare und Linux-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html).
## SSL-Zertifikate
DB-Instances von RDS unterstützen keine verwalteten SSL-Zertifikate. Wenn Sie SSL bereitstellen möchten, können Sie SSL-Zertifikate in Ihrem eigenen Wallet selbst verwalten und einen SSL-Listener erstellen, um die Verbindungen zwischen der Client-Datenbank oder für die Datenbankreplikation zu sichern. Weitere Informationen finden Sie unter [Configuring Transport Layer Security Authentication](https://docs.oracle.com/en/database/oracle/oracle-database/19/dbseg/configuring-secure-sockets-layer-authentication.html#GUID-6AD89576-526F-4D6B-A539-ADF4B840819F) (Konfiguration der Authentifizierung von Transport Layer Security) in der Oracle-Database-Dokumentation.
# Schützen Ihres Amazon-S3-Buckets vor dem Problem des verwirrten Stellvertreters
Wenn Sie eine DB-Instance von Amazon RDS Custom für Oracle Custom Engine (CEV) oder eine DB-Instance von RDS Custom für SQL Server erstellen, erstellt RDS Custom einen Amazon S3-Bucket. Der S3-Bucket speichert Dateien wie CEV-Artefakte, Redo- (Transaktions-) Protokolle, Konfigurationselemente für den Support-Perimeter und AWS CloudTrail -Protokolle.
Sie können diese S3-Buckets sicherer machen, indem Sie die globalen Bedingungskontextschlüssel verwenden, um *„confused deputy problem“* zu verhindern. Weitere Informationen finden Sie unter [Vermeidung des dienstübergreifenden Confused-Deputy-Problems](cross-service-confused-deputy-prevention.md).
Das folgende Beispiel von RDS Custom für Oracle zeigt die Verwendung der `aws:SourceArn` und `aws:SourceAccount` Kontext-Schlüssel für globale Bedingungen in einer S3-Bucket-Richtlinie. Stellen Sie bei RDS Custom for Oracle sicher, dass Sie die Amazon-Ressourcennamen (ARNs) für die CEVs und die DB-Instances angeben. Stellen Sie für RDS Custom für SQL Server sicher, dass Sie den ARN für die DB-Instances einschließen.
```
...
{
"Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess",
"Effect": "Allow",
"Principal": {
"Service": "custom.rds.amazonaws.com"
},
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectRetention",
"s3:BypassGovernanceRetention"
],
"Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"arn:aws:rds:us-east-2:123456789012:db:*",
"arn:aws:rds:us-east-2:123456789012:cev:*/*"
]
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
},
...
```
# Rotieren der Anmeldeinformationen von RDS Custom für Oracle für Compliance-Programme
Bei einigen Compliance-Programmen müssen die Anmeldeinformationen der Datenbankbenutzer regelmäßig geändert werden, z. B. alle 90 Tage. RDS Custom für Oracle rotiert die Anmeldeinformationen für einige vordefinierte Datenbankbenutzer automatisch.
**Topics**
+ [Automatische Rotation der Anmeldeinformationen für vordefinierte Benutzer](#custom-security.cred-rotation.auto)
+ [Richtlinien für das Rotieren von Benutzeranmeldeinformationen](#custom-security.cred-rotation.guidelines)
+ [Manuelles Rotieren der Benutzeranmeldeinformationen](#custom-security.cred-rotation.manual)
## Automatische Rotation der Anmeldeinformationen für vordefinierte Benutzer
Wenn Ihre DB-Instance von RDS Custom für Oracle in Amazon RDS gehostet wird, wechseln die Anmeldeinformationen für die folgenden vordefinierten Oracle-Benutzer automatisch alle 30 Tage. Die Anmeldeinformationen für die vorherigen Benutzer befinden sich in AWS Secrets Manager.
| Datenbankbenutzer | Erstellt von | Unterstützte Engine-Versionen | Hinweise |
| --- | --- | --- | --- |
| `SYS` | Oracle | custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2-cdb | |
| `SYSTEM` | Oracle | custom-oracle-ee custom-oracle-ee-cdb custom-oracle-se2 custom-oracle-se2-CDB | |
| `RDSADMIN` | RDS | custom-oracle-ee custom-oracle-se2 | |
| `C##RDSADMIN` | RDS | custom-oracle-ee-cdb custom-oracle-se2-CDB | Benutzernamen mit einem C\$1\$1 Präfix existieren nur in. CDBs Weitere Informationen finden Sie unter [Überblick über CDBs die Architektur von Amazon RDS Custom for Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/custom-creating.html#custom-creating.overview). |
| `RDS_DATAGUARD` | RDS | custom-oracle-ee | Dieser Benutzer ist nur in Lesereplikaten, Quelldatenbanken für Lesereplikate und Datenbanken vorhanden, die Sie mithilfe von Oracle Data Guard physisch zu RDS Custom migriert haben. |
| `C##RDS_DATAGUARD` | RDS | custom-oracle-ee-cdb | Dieser Benutzer ist nur in Lesereplikaten, Quelldatenbanken für Lesereplikate und Datenbanken vorhanden, die Sie mithilfe von Oracle Data Guard physisch zu RDS Custom migriert haben. Benutzernamen mit einem C\$1\$1 Präfix existieren nur in CDBs. Weitere Informationen finden Sie unter [Überblick über CDBs die Architektur von Amazon RDS Custom for Oracle](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/custom-creating.html#custom-creating.overview). |
Eine Ausnahme von der automatischen Rotation der Anmeldeinformationen ist eine DB-Instance von RDS Custom für Oracle, die Sie manuell als Standby-Datenbank konfiguriert haben. RDS rotiert nur die Anmeldeinformationen für Lesereplikate, die Sie mit dem CLI-Befehl `create-db-instance-read-replica` oder der API `CreateDBInstanceReadReplica` erstellt haben.
## Richtlinien für das Rotieren von Benutzeranmeldeinformationen
Beachten Sie die folgenden Richtlinien, um sicherzustellen, dass Ihre Anmeldeinformationen entsprechend Ihrem Compliance-Programm rotieren:
+ Wenn Ihre DB-Instance die Anmeldeinformationen automatisch rotiert, ändern oder löschen Sie keine Secrets, Passwortdateien oder Passwörter für Benutzer, die unter [Vordefinierte Oracle-Benutzer](#auto-rotation) aufgeführt sind. Andernfalls platziert RDS Custom Ihre DB-Instance möglicherweise außerhalb des Support-Perimeters, wodurch die automatische Rotation ausgesetzt wird.
+ Der RDS-Hauptbenutzer ist nicht vordefiniert, sodass Sie entweder dafür verantwortlich sind, das Passwort manuell zu ändern oder die automatische Rotation in Secrets Manager einzurichten. Weitere Informationen finden Sie unter [Rotate AWS Secrets Manager Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html).
## Manuelles Rotieren der Benutzeranmeldeinformationen
Für die folgenden Datenbankkategorien rotiert RDS die Anmeldeinformationen für die Benutzer, die unter [Vordefinierte Oracle-Benutzer](#auto-rotation) aufgeführt sind, nicht automatisch:
+ Eine Datenbank, die Sie manuell so konfiguriert haben, dass sie als Standby-Datenbank funktioniert.
+ Eine On-Premises-Datenbank.
+ Eine DB-Instance, die sich außerhalb des Support-Perimeters oder in einem Zustand befindet, in dem die RDS-Custom-Automatisierung nicht ausgeführt werden kann. In diesem Fall rotiert RDS Custom auch keine Schlüssel.
Wenn Ihre Datenbank in eine der vorherigen Kategorien fällt, müssen Sie Ihre Benutzeranmeldeinformationen manuell rotieren.
**So rotieren Sie die Benutzeranmeldeinformationen für eine DB-Instance manuell**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Stellen Sie unter **Datenbanken** sicher, dass RDS derzeit keine Backups Ihrer DB-Instance erstellt oder Vorgänge wie das Konfigurieren von Hochverfügbarkeit ausführt.
1. Wählen Sie auf der Seite mit den Datenbankdetails die Option **Konfiguration** und notieren Sie sich die Ressourcen-ID für die DB-Instance. Oder Sie können den AWS CLI Befehl verwenden`describe-db-instances`.
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Geben Sie in das Suchfeld die Ressourcen-ID Ihrer Datenbank ein und suchen Sie mit einer der folgenden Benennungskonventionen nach einem Secret:
```
do-not-delete-rds-custom-resource_id-uuid
rds-custom!oracle-do-not-delete-resource_id-uuid
```
Dieses Secret speichert das Passwort für `RDSADMIN`, `SYS` und `SYSTEM`. Der folgende Beispielschlüssel gilt für die DB-Instance mit der Ressourcen-ID `db-ABCDEFG12HIJKLNMNOPQRS3TUVWX` und UUID `123456`:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-123456
```
**Wichtig**
Wenn Ihre DB-Instance ein Lesereplikat ist und die Engine `custom-oracle-ee-cdb` verwendet, existieren zwei Secrets mit dem Suffix `db-resource_id-uuid`, eines für den Hauptbenutzer und das andere für `RDSADMIN` ,`SYS` und `SYSTEM`. Führen Sie den folgenden Befehl auf dem Host aus, um das richtige Secret zu finden:
```
cat /opt/aws/rdscustomagent/config/database_metadata.json | python3 -c "import sys,json; print(json.load(sys.stdin)['dbMonitoringUserPassword'])"
```
Das `dbMonitoringUserPassword`-Attribut gibt das Secret für `RDSADMIN`, `SYS` und `SYSTEM` an.
1. Wenn Ihre DB-Instance in einer Konfiguration von Oracle Data Guard vorhanden ist, suchen Sie eine der folgenden Benennungskonventionen:
```
do-not-delete-rds-custom-resource_id-uuid-dg
rds-custom!oracle-do-not-delete-resource_id-uuid-dg
```
Dieses Secret speichert das Passwort für `RDS_DATAGUARD`. Der folgende Beispielschlüssel gilt für die DB-Instance mit der DB-Ressourcen-ID `db-ABCDEFG12HIJKLNMNOPQRS3TUVWX` und UUID **789012**:
```
do-not-delete-rds-custom-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
rds-custom!oracle-do-not-delete-db-ABCDEFG12HIJKLNMNOPQRS3TUVWX-789012-dg
```
1. Aktualisieren Sie für alle Datenbankbenutzer, die unter [Vordefinierte Oracle-Benutzer](#auto-rotation) aufgeführt sind, die Kennwörter, indem Sie den Anweisungen unter [Ändern eines AWS Secrets Manager Geheimnisses](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_update-secret.html) folgen.
1. Wenn Ihre Datenbank eine eigenständige Datenbank oder eine Quelldatenbank in einer Konfiguration von Oracle Data Guard ist:
1. Starten Sie Ihren Oracle-SQL-Client und melden Sie sich als `SYS` an.
1. Führen Sie für jeden Datenbankbenutzer, der unter [Vordefinierte Oracle-Benutzer](#auto-rotation) aufgeführt ist, eine SQL-Anweisung in der folgenden Form aus:
```
ALTER USER user-name IDENTIFIED BY pwd-from-secrets-manager ACCOUNT UNLOCK;
```
Wenn das neue Passwort für `RDSADMIN`, das in Secrets Manager gespeichert ist, beispielsweise `pwd-123` lautet, führen Sie die folgende Anweisung aus:
```
ALTER USER RDSADMIN IDENTIFIED BY pwd-123 ACCOUNT UNLOCK;
```
1. Wenn Ihre DB-Instance Oracle Database 12c Release 1 (12.1) ausführt und von Oracle Data Guard verwaltet wird, kopieren Sie die Passwortdatei (`orapw`) manuell von der primären DB-Instance auf jede Standby-DB-Instance.
Wenn Ihre DB-Instance in Amazon RDS gehostet wird, lautet der Speicherort der Passwortdatei `/rdsdbdata/config/orapw`. Für Datenbanken, die nicht in Amazon RDS gehostet werden, ist der Standardspeicherort unter Linux und UNIX `$ORACLE_HOME/dbs/orapw$ORACLE_SID` und unter Windows `%ORACLE_HOME%\database\PWD%ORACLE_SID%.ora`.