Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit in Amazon RDS Custom
Machen Sie sich mit den Sicherheitsüberlegungen für RDS Custom vertraut.
Weitere Informationen zur Sicherheit von RDS Custom finden Sie in den folgenden Themen.
So verwaltet RDS Custom Aufgaben sicher in Ihrem Namen
RDS Custom verwendet die folgenden Tools und Methoden, um Operationen in Ihrem Namen sicher auszuführen:
- AWSServiceRoleForRDSCustom Mit dem Dienst verknüpfte Rolle
-
Eine serviceverknüpfte Rolle wird vom Service vordefiniert und schließt alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen benötigt. Bei RDS Custom ist
AWSServiceRoleForRDSCustomeine serviceverknüpfte Rolle, die nach dem Prinzip der geringsten Berechtigung definiert ist. RDS Custom verwendet die Berechtigungen inAmazonRDSCustomServiceRolePolicy, d. h. die dieser Rolle zugeordnete Richtlinie, um die meisten Bereitstellungsaufgaben und alle nicht auf dem Host ausgeführten Verwaltungsaufgaben auszuführen. Weitere Informationen finden Sie auf Amazon RDSCustom ServiceRolePolicy.Bei der Ausführung von Aufgaben auf dem Host verwendet RDS Custom Automation Anmeldeinformationen aus der mit dem Dienst verknüpften Rolle, um Befehle auszuführen mit AWS Systems Manager. Sie können den Befehlsverlauf über den Systems-Manager-Befehlsverlauf und AWS CloudTrail prüfen. Systems Manager stellt mithilfe Ihrer Netzwerkeinrichtung eine Verbindung mit Ihrer DB-Instance von RDS Custom her. Weitere Informationen finden Sie unter Schritt 4: Konfigurieren Sie IAM für RDS Custom für Oracle.
- Temporäre IAM-Anmeldeinformationen
-
Bei der Bereitstellung oder Löschung von Ressourcen verwendet RDS Custom manchmal temporäre Anmeldeinformationen, die von den Anmeldeinformationen des aufrufenden IAM-Prinzipals abgeleitet werden. Diese IAM-Anmeldeinformationen sind durch die diesem Prinzipal zugeordneten IAM-Richtlinien eingeschränkt und laufen nach Abschluss des Vorgangs ab. Weitere Informationen zu den Berechtigungen, die für IAM-Prinzipale erforderlich sind, welche RDS Custom verwenden, finden Sie unter Schritt 5: Erteilen Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle die erforderlichen Berechtigungen.
- EC2 Amazon-Instanzprofil
-
Ein EC2 Instance-Profil ist ein Container für eine IAM-Rolle, mit dem Sie Rolleninformationen an eine EC2 Instance übergeben können. Eine EC2 Instance liegt einer RDS Custom DB-Instance zugrunde. Sie geben ein Instance-Profil an, wenn Sie eine DB-Instance von RDS Custom erstellen. RDS Custom verwendet Anmeldeinformationen für das EC2 Instance-Profil, wenn es hostbasierte Verwaltungsaufgaben wie Backups ausführt. Weitere Informationen finden Sie unter Manuelles Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils.
- SSH-Schlüsselpaar
-
Wenn RDS Custom die EC2 Instance erstellt, die einer DB-Instance zugrunde liegt, erstellt es in Ihrem Namen ein SSH-Schlüsselpaar. Der Schlüssel verwendet das Namenspräfix
do-not-delete-rds-custom-ssh-privatekey-db-oder.rds-custom!oracle-do-not-delete-AWS Secrets Manager speichert diesen privaten SSH-Schlüssel als Geheimnis in Ihrem AWS-Konto. Amazon RDS speichert diese Anmeldeinformationen nicht, greift nicht auf sie zu und verwendet sie auch nicht. Weitere Informationen finden Sie unter EC2 Amazon-Schlüsselpaare und Linux-Instances.db_resource_id-uuid-ssh-privatekey
SSL-Zertifikate
DB-Instances von RDS unterstützen keine verwalteten SSL-Zertifikate. Wenn Sie SSL bereitstellen möchten, können Sie SSL-Zertifikate in Ihrem eigenen Wallet selbst verwalten und einen SSL-Listener erstellen, um die Verbindungen zwischen der Client-Datenbank oder für die Datenbankreplikation zu sichern. Weitere Informationen finden Sie unter Configuring Transport Layer Security Authentication
