Amazon RDS Custom のセキュリティ

サービスリンクロールはサービスによって事前に定義されており、サービスがユーザーに代わって他の AWS のサービス サービスを呼び出すために必要なアクセス許可がすべて含まれています。RDS Custom の場合、AWSServiceRoleForRDSCustom は最小特権の原則に従って定義されるサービスリンクロールです。RDS Custom は AmazonRDSCustomServiceRolePolicy で特権を使用します。これは、このロールにアタッチされているポリシーであり、ほとんどのプロビジョニングタスクとすべてのオフホスト管理タスクを実行します。詳細については、「AmazonRDSCustomServiceRolePolicy」を参照してください。

ホスト上でタスクを実行する場合、RDS Custom オートメーションはサービスリンクロールの認証情報を使用し、AWS Systems Manager を使用してコマンドを実行します。Systems Manager のコマンド履歴と AWS CloudTrail を使用してコマンド履歴を監査できます。Systems Manager は、ネットワーク設定を使用して RDS Custom DB インスタンスに接続します。詳細については、「ステップ 4: RDS Custom for Oracle 用に IAM を設定する」を参照してください。

リソースをプロビジョニングまたは削除する際、RDS Custom は呼び出し元の IAM プリンシパルの認証情報から取得した一時的な認証情報を使用することがあります。これらの IAM 認証情報は、そのプリンシパルにアタッチされている IAM ポリシーによって制限され、そのオペレーションが完了すると失効します。RDS Custom を使用する IAM プリンシパルに必要なアクセス許可については、「ステップ 5: IAM ユーザーまたはロールに必要なアクセス許可を付与する」を参照してください。

EC2 インスタンスプロファイルは IAM ロールのコンテナであり、EC2 インスタンスにロール情報を渡すために使用できます。EC2 インスタンスは RDS Custom DB インスタンスの基礎となります。RDS Custom DB インスタンスを作成するときに、インスタンスプロファイルを提供します。RDS Custom は、バックアップなどのホストベースの管理タスクを実行する際に EC2 インスタンスプロファイルの認証情報を使用します。詳細については、「IAM ロールおよびインスタンスプロファイルをマニュアルで作成する」を参照してください。

RDS Custom が DB インスタンスの基盤となる EC2 インスタンスを作成すると、ユーザーに代わって SSH キーペアが作成されます。キーは命名プレフィックス do-not-delete-rds-custom-ssh-privatekey-db- を使用します。AWS Secrets Manager はこのプライベートキーをシークレットとして AWS アカウント に保存します。Amazon RDS はこれらの認証情報を保存、アクセス、または使用しません。詳細については、「Amazon EC2 キーペアおよび Linux インスタンス」を参照してください。