Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité dans Amazon RDS Custom
Familiarisez-vous avec sur les considérations de sécurité pour RDS Custom.
Pour plus d'informations sur la sécurité de RDS Custom, consultez les rubriques suivantes.
Comment RDS Custom gère les tâches en votre nom en toute sécurité
RDS Custom utilise les outils et techniques suivants pour exécuter en toute sécurité des opérations en votre nom :
- AWSServiceRoleForRDSCustom rôle lié au service
-
Un rôle lié à un service est prédéfini par le service et inclut toutes les autorisations requises par le service pour appeler d'autres Services AWS en votre nom. Pour RDS Custom,
AWSServiceRoleForRDSCustomest un rôle lié à un service, défini selon le principe du moindre privilège. RDS Custom utilise les autorisations définies dansAmazonRDSCustomServiceRolePolicy, qui constitue la politique attachée à ce rôle, pour effectuer la plupart des tâches de provisionnement et toutes les tâches de gestion hors hôte. Pour plus d'informations, consultez Amazon RDSCustom ServiceRolePolicy.Lorsqu'il exécute des tâches sur l'hôte, RDS Custom Automation utilise les informations d'identification du rôle lié au service pour exécuter des commandes à l'aide de. AWS Systems Manager Vous pouvez auditer l'historique des commandes via l'historique des commandes de Systems Manager et AWS CloudTrail. Systems Manager se connecte à votre instance de base de données RDS Custom à l'aide de votre configuration réseau. Pour de plus amples informations, veuillez consulter Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.
- Informations d'identification IAM temporaires
-
Lors du provisionnement ou de la suppression de ressources, RDS Custom utilise parfois des informations d'identification temporaires dérivées des informations d'identification du principal IAM appelant. Ces informations d'identification IAM sont limitées par les politiques IAM attachées à ce principal et expirent une fois l'opération terminée. Pour en savoir plus sur les autorisations requises pour les principaux IAM qui utilisent RDS Custom, consultez Étape 5 : accordez les autorisations requises à votre utilisateur ou à votre rôle IAM.
- Profil d' EC2 instance Amazon
-
Un profil d' EC2 instance est un conteneur pour un rôle IAM que vous pouvez utiliser pour transmettre des informations de rôle à une EC2 instance. Une EC2 instance sous-tend une instance de base de données personnalisée RDS. Vous fournissez un profil d'instance lorsque vous créez une instance de base de données RDS Custom. RDS Custom utilise les informations d'identification du profil d' EC2 instance lorsqu'il exécute des tâches de gestion basées sur l'hôte, telles que des sauvegardes. Pour de plus amples informations, veuillez consulter Créer manuellement votre profil d'instance et de rôle IAM.
- Paire de clés SSH
-
Lorsque RDS Custom crée l' EC2 instance qui sous-tend une instance de base de données, il crée une paire de clés SSH en votre nom. La clé utilise le préfixe de dénomination
do-not-delete-rds-custom-ssh-privatekey-db-ourds-custom!oracle-do-not-delete-. AWS Secrets Manager stocke cette clé privée SSH en tant que secret dans votre Compte AWS. Amazon RDS ne stocke pas ces informations d'identification, n'y accède pas et ne les utilise pas. Pour plus d'informations, consultez les paires de EC2 clés Amazon et les instances Linux.db_resource_id-uuid-ssh-privatekey
Certificats SSL
Les instances de base de données RDS Custom ne prennent pas en charge les certificats SSL gérés. Si vous souhaitez déployer SSL, vous pouvez gérer vous-même les certificats SSL dans votre propre portefeuille et créer un écouteur SSL pour sécuriser les connexions entre la base de données cliente ou pour la réplication de base de données. Pour en savoir plus, consultez Configuring Transport Layer Security Authentication
