Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit in Amazon RDS Custom
Machen Sie sich mit den Sicherheitsüberlegungen für RDS Custom vertraut.
Weitere Informationen zur Sicherheit für RDS Custom finden Sie in den folgenden Themen.
So verwaltet RDS Custom Aufgaben sicher in Ihrem Namen
RDS Custom verwendet die folgenden Tools und Methoden, um Operationen in Ihrem Namen sicher auszuführen:
- Serviceverknüpfte Rolle AWSServiceRoleForRDSCustom
-
Eine serviceverknüpfte Rolle wird vom Service vordefiniert und schließt alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen benötigt. Bei RDS Custom ist
AWSServiceRoleForRDSCustomeine serviceverknüpfte Rolle, die nach dem Prinzip der geringsten Berechtigung definiert ist. RDS Custom verwendet die Berechtigungen inAmazonRDSCustomServiceRolePolicy, d. h. die dieser Rolle zugeordnete Richtlinie, um die meisten Bereitstellungsaufgaben und alle nicht auf dem Host ausgeführten Verwaltungsaufgaben auszuführen. Weitere Informationen finden Sie unter AmazonRDSCustomServiceRolePolicy.Bei der Ausführung von Aufgaben auf dem Host verwendet die RDS-Custom-Automatisierung Anmeldeinformationen aus der serviceverknüpften Rolle, um Befehle mithilfe von AWS Systems Manager auszuführen. Sie können den Befehlsverlauf über den Systems-Manager-Befehlsverlauf und AWS CloudTrail prüfen. Systems Manager stellt mithilfe Ihrer Netzwerkeinrichtung eine Verbindung mit Ihrer DB-Instance von RDS Custom her. Weitere Informationen finden Sie unter Schritt 4: Konfigurieren von IAM für RDS Custom für Oracle.
- Temporäre IAM-Anmeldeinformationen
-
Bei der Bereitstellung oder Löschung von Ressourcen verwendet RDS Custom manchmal temporäre Anmeldeinformationen, die von den Anmeldeinformationen des aufrufenden IAM-Prinzipals abgeleitet werden. Diese IAM-Anmeldeinformationen sind durch die diesem Prinzipal zugeordneten IAM-Richtlinien eingeschränkt und laufen nach Abschluss des Vorgangs ab. Weitere Informationen zu den Berechtigungen, die für IAM-Prinzipale erforderlich sind, welche RDS Custom verwenden, finden Sie unter Schritt 5: Erteilen Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle die erforderlichen Berechtigungen.
- Das Instance-Profil von Amazon EC2
-
Ein EC2-Instance-Profil ist ein Container für eine IAM-Rolle, mit dem Sie Rolleninformationen an eine EC2-Instance übergeben können. Eine EC2-Instance liegt einer benutzerdefinierten DB-Instance von RDS Custom zugrunde. Sie geben ein Instance-Profil an, wenn Sie eine DB-Instance von RDS Custom erstellen. RDS Custom verwendet Anmeldeinformationen für EC2-Instance-Profile, wenn es hostbasierte Verwaltungsaufgaben wie Backups ausführt. Weitere Informationen finden Sie unter Manuelles Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils.
- SSH-Schlüsselpaar
-
Wenn RDS Custom die EC2-Instance erstellt, die einer DB-Instance zugrunde liegt, wird in Ihrem Namen ein SSH-Schlüsselpaar erstellt. Der Schlüssel verwendet das Namenspräfix
do-not-delete-rds-custom-ssh-privatekey-db-oderrds-custom!oracle-do-not-delete-. AWS Secrets Manager speichert diesen privaten SSH-Schlüssel als Secret in Ihrem AWS-Konto. Amazon RDS speichert diese Anmeldeinformationen nicht, greift nicht auf sie zu und verwendet sie auch nicht. Weitere Informationen finden Sie unter Amazon-EC2-Schlüsselpaare und Linux-Instances.db_resource_id-uuid-ssh-privatekey
SSL-Zertifikate
DB-Instances von RDS unterstützen keine verwalteten SSL-Zertifikate. Wenn Sie SSL bereitstellen möchten, können Sie SSL-Zertifikate in Ihrem eigenen Wallet selbst verwalten und einen SSL-Listener erstellen, um die Verbindungen zwischen der Client-Datenbank oder für die Datenbankreplikation zu sichern. Weitere Informationen finden Sie unter Configuring Transport Layer Security Authentication
