自行熟悉 RDS Custom 的安全注意事项。
有关 RDS Custom 的安全性的更多信息,请参阅以下主题。
RDS Custom 如何代表您安全地管理任务
RDS Custom 使用以下工具和方法来代表您安全地运行操作:
- AWSServiceRoleForRDSCustom 服务相关角色
-
服务相关角色是由服务预定义的,包含该服务代表您调用其他 AWS 服务所需的所有权限。对于 RDS Custom,
AWSServiceRoleForRDSCustom是根据最低权限原则定义的服务相关角色。RDS Custom 使用AmazonRDSCustomServiceRolePolicy中的权限(即附加到此角色的策略)来执行大多数预置和所有脱离主机的管理任务。有关更多信息,请参阅 AmazonRDSCustomServiceRolePolicy。在主机上执行任务时,RDS Custom 自动化通过 AWS Systems Manager 使用来自服务相关角色的凭证来运行命令。您可以通过 Systems Manager 命令历史记录和 AWS CloudTrail 来审计命令历史记录。Systems Manager 使用您的网络设置连接到您的 RDS Custom 数据库实例。有关更多信息,请参阅 步骤 4:为 RDS Custom for Oracle 配置 IAM。
- 临时 IAM 凭证
-
在预置或删除资源时,RDS Custom 有时会使用从发出调用的 IAM 主体的凭证中派生的临时凭证。这些 IAM 凭证受附加到该主体的 IAM policy 限制,并在操作完成后过期。要了解使用 RDS Custom 的 IAM 主体所需的权限,请参阅步骤 5:为您的 IAM 用户或角色授予所需的权限。
- Amazon EC2 实例配置文件
-
EC2 实例配置文件是 IAM 角色的容器,可用来将角色信息传递给 EC2 实例。EC2 实例是 RDS Custom 数据库实例的基础。创建 RDS Custom 数据库实例时,您需要提供实例配置文件。RDS Custom 在执行基于主机的管理任务(例如备份)时,使用 EC2 实例配置文件凭证。有关更多信息,请参阅 手动创建您的 IAM 角色和实例配置文件。
- SSH 密钥对
-
当 RDS Custom 创建作为数据库实例基础的 EC2 实例时,它会代表您创建 SSH 密钥对。密钥使用命名前缀
do-not-delete-rds-custom-ssh-privatekey-db-。AWS Secrets Manager 将此 SSH 私有密钥存储为您的 AWS 账户中的密钥。Amazon RDS 不存储、访问或使用这些凭证。有关更多信息,请参阅 Amazon EC2 密钥对和 Linux 实例。
SSL 证书
RDS Custom 数据库实例不支持托管式 SSL 证书。如果要部署 SSL,则可以在自己的钱包中自行管理 SSL 证书,并创建 SSL 侦听器来保护客户端数据库之间的连接或进行数据库复制。有关更多信息,请参阅 Oracle 数据库文档中的配置传输层安全性协议身份验证
