Seguridad de Amazon RDS Custom - Amazon Relational Database Service
Cómo gestiona RDS Custom las tareas en su nombre de forma seguraCertificados de SSL

Seguridad de Amazon RDS Custom

Familiarícese con los aspectos de seguridad de RDS Custom.

Para obtener más información sobre la seguridad de RDS Custom, consulte los temas siguientes.

Cómo gestiona RDS Custom las tareas en su nombre de forma segura

RDS Custom utiliza las siguientes herramientas y técnicas para ejecutar operaciones en su nombre de forma segura:

Rol vinculado al servicio AWSServiceRoleForRDSCustom

Un rol vinculado al servicio está predefinido por el servicio e incluye todos los permisos que requiere el servicio para llamar a otros Servicios de AWS en su nombre. Para RDS Custom, AWSServiceRoleForRDSCustom es un rol vinculado al servicio que se define según el principio del privilegio mínimo. RDS Custom utiliza los permisos de AmazonRDSCustomServiceRolePolicy, que es la política adjunta a este rol, para realizar la mayoría de las tareas de aprovisionamiento y de administración fuera del host. Para obtener más información, consulte AmazonRDSCustomServiceRolePolicy.

Cuando realiza tareas en el host, la automatización de RDS Custom utiliza las credenciales del rol vinculado al servicio para ejecutar los comandos mediante AWS Systems Manager. Puede auditar el historial de comandos a través del historial de comandos de Systems Manager y AWS CloudTrail. Systems Manager se conecta a su instancia de base de datos de RDS Custom mediante la configuración de red. Para obtener más información, consulte Paso 4: configurar IAM para RDS Custom for Oracle.

Credenciales de IAM temporales

Al aprovisionar o eliminar recursos, RDS Custom a veces utiliza credenciales temporales derivadas de las credenciales de la entidad principal de la IAM que llama. Estas credenciales de la IAM están restringidas por las políticas de IAM adjuntas a esa entidad principal y caducan una vez finalizada la operación. Para obtener más información sobre los permisos necesarios para las entidades principales de IAM que utilizan RDS Custom, consulte Paso 5: otorgar los permisos necesarios al rol o usuario de IAM.

Perfil de instancia de Amazon EC2

Un perfil de instancia de EC2 es un contenedor de un rol de IAM, que puede utilizar para transferir información del rol a una instancia de EC2. Una instancia de EC2 subyace a una instancia de base de datos de RDS Custom. Debe proporcionar un perfil de instancia al crear una instancia de base de datos de RDS Custom. RDS Custom utiliza las credenciales del perfil de instancia de EC2 cuando realiza tareas de administración basadas en el host, como las copias de seguridad. Para obtener más información, consulte Cree manualmente el rol de IAM y el perfil de instancias.

Par de claves SSH

Cuando RDS Custom crea la instancia de EC2 que subyace a una instancia de base de datos, crea un par de claves SSH en su nombre. La clave usa el prefijo del nombre do-not-delete-rds-custom-ssh-privatekey-db-. AWS Secrets Manager almacena la clave privada SSH como secreto en Cuenta de AWS. Amazon RDS no almacena, accede ni usa estas credenciales. Para obtener más información, consulte Pares de claves de Amazon EC2 e instancias Linux.

Certificados de SSL

Las instancias de bases de datos de RDS Custom no admiten certificados SSL administrados. Si desea implementar SSL, puede administrar automáticamente los certificados SSL en su propia cartera y crear un oyente de SSL para proteger las conexiones entre la base de datos del cliente o para la replicación de la base de datos. Para obtener más información, consulte Configuring Transport Layer Security Authentication (Configuración de la autenticación de seguridad de la capa de transporte) en la documentación de Oracle Database.