Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité dans Amazon RDS Custom
Familiarisez-vous avec sur les considérations de sécurité pour RDS Custom.
Pour plus d’informations sur la sécurité pour RDS Custom, consultez les rubriques suivantes.
Comment RDS Custom gère les tâches en votre nom en toute sécurité
RDS Custom utilise les outils et techniques suivants pour exécuter en toute sécurité des opérations en votre nom :
- Rôle lié à un service AWSServiceRoleForRDSCustom
-
Un rôle lié à un service est prédéfini par le service et inclut toutes les autorisations requises par le service pour appeler d'autres Services AWS en votre nom. Pour RDS Custom,
AWSServiceRoleForRDSCustomest un rôle lié à un service, défini selon le principe du moindre privilège. RDS Custom utilise les autorisations définies dansAmazonRDSCustomServiceRolePolicy, qui constitue la politique attachée à ce rôle, pour effectuer la plupart des tâches de provisionnement et toutes les tâches de gestion hors hôte. Pour plus d'informations, consultez AmazonRDSCustomServiceRolePolicy.Lorsqu'elle exécute des tâches sur l'hôte, l'automatisation de RDS Custom utilise les informations d'identification du rôle lié au service pour exécuter des commandes à l'aide d'AWS Systems Manager. Vous pouvez auditer l'historique des commandes via l'historique des commandes de Systems Manager et AWS CloudTrail. Systems Manager se connecte à votre instance de base de données RDS Custom à l'aide de votre configuration réseau. Pour plus d’informations, consultez Étape 4 : configuration d’IAM pour RDS Custom for Oracle.
- Informations d'identification IAM temporaires
-
Lors du provisionnement ou de la suppression de ressources, RDS Custom utilise parfois des informations d'identification temporaires dérivées des informations d'identification du principal IAM appelant. Ces informations d'identification IAM sont limitées par les politiques IAM attachées à ce principal et expirent une fois l'opération terminée. Pour en savoir plus sur les autorisations requises pour les principaux IAM qui utilisent RDS Custom, consultez Étape 5 : octroi des autorisations requises à votre utilisateur ou rôle IAM.
- Profil d'instance Amazon EC2
-
Un profil d'instance EC2 est un conteneur pour un rôle IAM que vous pouvez utiliser pour transmettre les informations liées au rôle à une instance EC2. Une instance EC2 sous-tend une instance de base de données RDS Custom. Vous fournissez un profil d'instance lorsque vous créez une instance de base de données RDS Custom. RDS Custom utilise les informations d'identification du profil d'instance EC2 lorsqu'il exécute des tâches de gestion basées sur l'hôte, telles que des sauvegardes. Pour plus d’informations, consultez Créer manuellement votre profil d'instance et de rôle IAM.
- Paire de clés SSH
-
Quand RDS Custom crée l'instance EC2 qui sous-tend une instance de base de données, il crée une paire de clés SSH en votre nom. Le nom de la clé inclut le préfixe
do-not-delete-rds-custom-ssh-privatekey-db-ourds-custom!oracle-do-not-delete-. AWS Secrets Manager stocke cette clé privée SSH en tant que secret dans votre Compte AWS. Amazon RDS ne stocke pas ces informations d'identification, n'y accède pas et ne les utilise pas. Pour plus d’informations, consultez Paires de clés Amazon EC2 et instances Linux.db_resource_id-uuid-ssh-privatekey
Certificats SSL
Les instances de base de données RDS Custom ne prennent pas en charge les certificats SSL gérés. Si vous souhaitez déployer SSL, vous pouvez gérer vous-même les certificats SSL dans votre propre portefeuille et créer un écouteur SSL pour sécuriser les connexions entre la base de données cliente ou pour la réplication de base de données. Pour en savoir plus, consultez Configuring Transport Layer Security Authentication
