Amazon RDS Custom의 보안

서비스 연결 역할은 서비스에서 사전 정의하며, 사용자를 대신하여 다른 AWS 서비스를 자동으로 호출하는 데 필요한 모든 권한을 포함합니다. RDS  Custom의 경우 AWSServiceRoleForRDSCustom이 최소 권한의 원칙에 따라 정의된 서비스 연결 역할입니다. RDS Custom은 이 역할에 연결된 정책인 AmazonRDSCustomServiceRolePolicy의 권한을 사용하여 대부분의 프로비저닝과 모든 오프 호스트 관리 작업을 수행합니다. 자세한 내용은 AmazonRDSCustomServiceRolePolicy를 참조하세요.

호스트에 작업을 수행할 때 RDS Custom 자동화는 서비스 연결 역할의 보안 인증 정보를 사용하여 AWS Systems Manager로 명령을 실행합니다. Systems Manager 명령 기록 및 AWS CloudTrail을 통해 명령 기록을 감사할 수 있습니다. Systems Manager는 네트워킹 설정을 사용하여 RDS Custom DB 인스턴스에 연결합니다. 자세한 내용은 4단계: RDS Custom for Oracle의 IAM 구성 단원을 참조하십시오.

리소스를 프로비저닝하거나 삭제할 때 RDS Custom은 호출하는 IAM 보안 주체의 보안 인증 정보에서 파생된 임시 보안 인증 정보를 사용하는 경우가 있습니다. 이러한 IAM 보안 인증 정보는 해당 보안 주체에 연결된 IAM 정책에 의해 제한되며 작업이 완료된 후 만료됩니다. RDS Custom을 사용하는 IAM 보안 주체에 필요한 권한에 대해 알아보려면 5단계: IAM 사용자 또는 역할에 필요한 권한 부여 섹션을 참조하세요.

EC2 인스턴스 프로파일이란 IAM 역할을 위한 컨테이너로, EC2 인스턴스에 역할 정보를 전달하는 데 사용됩니다. EC2 인스턴스는 RDS Custom DB 인스턴스의 기반이 됩니다. RDS Custom DB 인스턴스를 만들 때 인스턴스 프로필을 제공합니다. RDS Custom은 백업과 같은 호스트 기반 관리 작업을 수행할 때 EC2 인스턴스 프로파일 보안 인증 정보를 사용합니다. 자세한 내용은 수동으로 IAM 역할과 인스턴스 프로파일 생성 단원을 참조하십시오.

RDS Custom은 DB 인스턴스의 기반이 되는 EC2 인스턴스를 만들 때 사용자를 대신하여 SSH 키 페어를 생성합니다. 키는 이름 지정 접두사 do-not-delete-rds-custom-ssh-privatekey-db-를 사용하며, AWS Secrets Manager는 프라이빗 키를 AWS 계정에 보안 암호로 저장합니다. Amazon RDS는 이러한 보안 인증 정보를 저장, 액세스 또는 사용하지 않습니다. 자세한 내용은 Amazon EC2 키 페어 및 Linux 인스턴스를 참조하세요.