Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité dans Amazon RDS Custom
Familiarisez-vous avec les considérations de sécurité relatives à RDS Custom.
Pour plus d'informations sur la sécurité pour RDS Custom, consultez les rubriques suivantes.
Comment RDS Custom gère en toute sécurité les tâches en votre nom
RDSCustom utilise les outils et techniques suivants pour exécuter des opérations en toute sécurité en votre nom :
- Rôle lié à un service AWSServiceRoleForRDSCustom
-
Un rôle lié à un service est prédéfini par le service et inclut toutes les autorisations requises par le service pour appeler d'autres Services AWS en votre nom. Pour RDS Custom,
AWSServiceRoleForRDSCustomil s'agit d'un rôle lié à un service défini selon le principe du moindre privilège. RDSCustom utilise les autorisations définies dansAmazonRDSCustomServiceRolePolicy, qui constituent la politique associée à ce rôle, pour effectuer la plupart des tâches de provisionnement et de gestion hors hôte. Pour plus d'informations, voir mazonRDSCustomServiceRolePolicyA.Lorsqu'elle exécute des tâches sur l'hôte, l'automatisation RDS personnalisée utilise les informations d'identification du rôle lié au service pour exécuter des commandes à l'aide de. AWS Systems Manager Vous pouvez auditer l'historique des commandes via l'historique des commandes de Systems Manager et AWS CloudTrail. Systems Manager se connecte à votre instance de base de données RDS personnalisée à l'aide de votre configuration réseau. Pour de plus amples informations, veuillez consulter Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.
- IAMInformations d'identification temporaires
-
Lors du provisionnement ou de la suppression de ressources, RDS Custom utilise parfois des informations d'identification temporaires dérivées des informations d'identification du IAM principal appelant. Ces IAM informations d'identification sont limitées par les IAM politiques associées à ce principal et expirent une fois l'opération terminée. Pour en savoir plus sur les autorisations requises pour IAM les directeurs qui utilisent RDS Custom, voirÉtape 5 : accordez les autorisations requises à votre utilisateur ou à votre rôle IAM.
- Profil d'EC2instance Amazon
-
Un profil d'EC2instance est un conteneur pour un IAM rôle que vous pouvez utiliser pour transmettre des informations de rôle à une EC2 instance. Une EC2 instance sous-tend une instance de base de données RDS personnalisée. Vous fournissez un profil d'instance lorsque vous créez une instance de base de données RDS personnalisée. RDSCustom utilise les informations d'identification du profil d'EC2instance lorsqu'il exécute des tâches de gestion basées sur l'hôte, telles que des sauvegardes. Pour de plus amples informations, veuillez consulter Créer manuellement votre profil d'instance et de rôle IAM.
- SSHpaire de clés
-
Lorsque RDS Custom crée l'EC2instance qui sous-tend une instance de base de données, il crée une paire de SSH clés en votre nom. La clé utilise le préfixe
do-not-delete-rds-custom-ssh-privatekey-db-de dénomination. AWS Secrets Manager stocke cette clé SSH privée en tant que secret dans votre Compte AWS. Amazon RDS ne stocke pas, n'accède pas à ces informations d'identification et ne les utilise pas. Pour plus d'informations, consultez les paires de EC2 clés Amazon et les instances Linux.
SSLcertificats
RDSLes instances de base de données personnalisées ne prennent pas en charge SSL les certificats gérés. Si vous souhaitez effectuer un déploiementSSL, vous pouvez gérer vous-même les SSL certificats dans votre propre portefeuille et créer un SSL écouteur pour sécuriser les connexions entre la base de données cliente ou pour la réplication de la base de données. Pour en savoir plus, consultez Configuring Transport Layer Security Authentication
