Amazon RDS Custom 中的安全性

服務連結角色是由服務預先定義，內含該服務代您呼叫其他  AWS 服務  所需的所有許可。對於RDS自訂， AWSServiceRoleForRDSCustom 是服務連結角色，根據最低權限原則定義。RDS Custom 使用 中的許可AmazonRDSCustomServiceRolePolicy，這是附加至此角色的政策，可執行大多數佈建和所有主機外管理任務。如需詳細資訊，請參閱 A mazonRDSCustomServiceRolePolicy。

當它在主機上執行任務時，RDS自訂自動化會使用服務連結角色的憑證來使用 執行命令 AWS Systems Manager。您可以透過系統管理員指令歷程記錄和  AWS CloudTrail 來稽核命令歷史記錄。Systems Manager 會使用網路設定連線至您的RDS自訂資料庫執行個體。如需詳細資訊，請參閱步驟 4：設定適用於 Oracle 的 RDS 自訂 IAM。

佈建或刪除資源時，RDS自訂有時會使用源自呼叫IAM主體憑證的臨時憑證。這些IAM憑證受到附加至該主體IAM的政策限制，並在操作完成後過期。若要了解使用 RDS Custom 的IAM主體所需的許可，請參閱 步驟 5：將必要許可授予 IAM 使用者或角色。

EC2 執行個體設定檔是IAM角色的容器，可用來將角色資訊傳遞給EC2執行個體。EC2 執行個體是RDS自訂資料庫執行個體的基礎。您在建立RDS自訂資料庫執行個體時提供執行個體設定檔。RDS 自訂會在執行備份等主機型管理任務時使用EC2執行個體設定檔憑證。如需詳細資訊，請參閱手動建立 IAM 角色和執行個體設定檔。

當 RDS Custom 建立屬於資料庫EC2執行個體的執行個體時，它會代表您建立SSH金鑰對。金鑰使用命名字首 do-not-delete-rds-custom-ssh-privatekey-db-。 AWS Secrets Manager 會將此SSH私有金鑰儲存為 中的秘密 AWS 帳戶。Amazon RDS不會儲存、存取或使用這些憑證。如需詳細資訊，請參閱 Amazon EC2金鑰對和 Linux 執行個體 。