Como o RDS Custom gerencia com segurança as tarefas em seu nome Certificados SSL

Segurança no Amazon RDS Custom

Familiarize-se com as considerações de segurança do RDS Custom.

Consulte mais informações sobre segurança do RDS Custom nos tópicos a seguir.

Como o RDS Custom gerencia com segurança as tarefas em seu nome

O RDS Custom utiliza as seguintes ferramentas e técnicas para executar operações com segurança em seu nome:

Perfil vinculado a serviço AWSServiceRoleForRDSCustom

Um perfil vinculado a serviço é predefinido pelo serviço e inclui todas as permissões que o serviço precisa para chamar outros Serviços da AWS em seu nome. Para o RDS Custom, AWSServiceRoleForRDSCustom é um perfil vinculado a serviço que é definido de acordo com o princípio do privilégio mínimo. O RDS Custom usa as permissões em AmazonRDSCustomServiceRolePolicy, que é a política associada a esse perfil, para realizar a maioria das tarefas de provisionamento e todas as tarefas de gerenciamento fora do host. Para obter mais informações, consulte AmazonRDSCustomServiceRolePolicy.

Ao executar tarefas no host, a automação do RDS Custom usa credenciais do perfil vinculado a serviço para executar comandos usando o AWS Systems Manager. Você pode auditar o histórico de comandos por meio do histórico de comandos do Systems Manager e pelo AWS CloudTrail. O Systems Manager se conecta à sua instância de banco de dados do RDS Custom usando sua configuração de rede. Para ter mais informações, consulte Etapa 4: Configurar o IAM para RDS Custom para Oracle.

Credenciais temporárias do IAM

Ao provisionar ou excluir recursos, o RDS Custom às vezes utiliza credenciais temporárias derivadas das credenciais da entidade principal do IAM que realiza a chamada. Essas credenciais do IAM são restringidas pelas políticas do IAM anexadas a essa entidade principal e expiram após a conclusão da operação. Para saber mais sobre as permissões necessárias para entidades principais do IAM que usam o RDS Custom, consulte Etapa 5: Conceder as permissões necessárias ao usuário ou ao perfil do IAM.

Perfil de instância do Amazon EC2

Um perfil de instância do EC2 é um contêiner para um perfil do IAM que pode ser usado para transmitir as informações do perfil para uma instância do EC2. Uma instância do EC2 é a base de uma instância de banco de dados do RDS Custom. Você fornece um perfil de instância ao criar uma instância de banco de dados do RDS Custom. O RDS Custom usa as credenciais do perfil de instância do EC2 ao executar tarefas de gerenciamento baseadas em host, como backups. Para ter mais informações, consulte Criar seu perfil do IAM e perfil de instância manualmente.

Par de chaves SSH

Quando o RDS Custom cria a instância do EC2 como base de uma instância de banco de dados, ele cria um par de chaves SSH em seu nome. A chave utiliza o prefixo do-not-delete-rds-custom-ssh-privatekey-db-. O AWS Secrets Manager armazena essa chave privada SSH como um segredo em sua Conta da AWS. O Amazon RDS não armazena, nem acessa, nem usa essas credenciais. Para obter mais informações, consulte Pares de chaves do Amazon EC2 e instâncias do Linux.

Certificados SSL

As instâncias de banco de dados personalizadas do RDS não comportam certificados SSL gerenciados. Se quiser implantar o SSL, você pode autogerenciar certificados SSL em sua própria carteira e criar um receptor SSL para proteger as conexões entre o banco de dados do cliente ou para a replicação do banco de dados. Para obter mais informações, consulte Configuring Transport Layer Security Authentication na documentação do Oracle Database.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Arquitetura do RDS Custom

Proteger o bucket do Amazon S3 contra o problema do substituto confuso