Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza in Amazon RDS Custom
Acquisisci familiarità con le considerazioni sulla sicurezza di RDS Custom.
Per ulteriori informazioni sulla sicurezza per RDS Custom, vedere i seguenti argomenti.
Gestione sicura delle attività da parte di RDS Custom per conto dell'utente
RDS Custom utilizza gli strumenti e le tecniche descritti di seguito per eseguire in modo sicuro le operazioni per conto dell'utente:
- AWSServiceRoleForRDSCustom ruolo collegato al servizio
-
Un ruolo collegato al servizio è definito automaticamente dal servizio e include tutte le autorizzazioni richieste dal servizio per chiamare altri Servizi AWS per conto dell'utente. Per RDS Custom,
AWSServiceRoleForRDSCustomè un ruolo collegato al servizio definito in base al principio del privilegio minimo. RDS Custom utilizza le autorizzazioni inAmazonRDSCustomServiceRolePolicy, ovvero la policy associata a questo ruolo, per eseguire la maggior parte delle attività di provisioning e tutte le attività di gestione off-host. Per ulteriori informazioni, consulta Amazon RDSCustom ServiceRolePolicy.Quando esegue attività sull'host, RDS Custom Automation utilizza le credenziali del ruolo collegato al servizio per eseguire comandi utilizzando. AWS Systems ManagerÈ possibile controllare la cronologia dei comandi tramite la cronologia dei comandi di Systems Manager e AWS CloudTrail. Systems Manager si connette all'istanza database RDS Custom utilizzando la configurazione di rete. Per ulteriori informazioni, consulta Fase 4: Configurazione di IAM for RDS Custom per Oracle.
- Credenziali IAM temporanee
-
Durante il provisioning o l'eliminazione delle risorse, RDS Custom a volte utilizza credenziali temporanee derivate dalle credenziali del principale IAM chiamante. Queste credenziali IAM sono limitate dalle policy IAM associate a tale principale e scadono dopo il completamento dell'operazione. Per ulteriori informazioni sulle autorizzazioni richieste per i principali IAM che utilizzano RDS Custom, consulta Passaggio 5: concedi le autorizzazioni necessarie al tuo utente o ruolo IAM.
- Profilo di EC2 istanza Amazon
-
Un profilo di EC2 istanza è un contenitore per un ruolo IAM che puoi utilizzare per passare informazioni sul ruolo a un' EC2 istanza. Un' EC2 istanza è alla base di un'istanza DB personalizzata RDS. Fornire un profilo dell'istanza quando viene creata un'istanza database RDS Custom. RDS Custom utilizza le credenziali del profilo di EC2 istanza quando esegue attività di gestione basate sull'host, come i backup. Per ulteriori informazioni, consulta Creare manualmente il ruolo IAM e il profilo dell'istanza.
- Coppia di chiavi SSH
-
Quando RDS Custom crea l' EC2 istanza che sta alla base di un'istanza DB, crea una coppia di chiavi SSH per conto dell'utente. La chiave utilizza il prefisso di denominazione o.
do-not-delete-rds-custom-ssh-privatekey-db-rds-custom!oracle-do-not-delete-AWS Secrets Manager memorizza questa chiave privata SSH come segreta nel tuo. Account AWS Amazon RDS non archivia queste credenziali, né vi ha accesso né le utilizza. Per ulteriori informazioni, consulta coppie di EC2 chiavi Amazon e istanze Linux.db_resource_id-uuid-ssh-privatekey
Certificati SSL
Le istanze database RDS personalizzate non supportano i certificati SSL gestiti. Se desideri implementare l'SSL, puoi gestire autonomamente i certificati SSL nel tuo portafoglio e creare un ascoltatore SSL per proteggere le connessioni tra il database client o per la replica del database. Per ulteriori informazioni, consulta Configuring Transport Layer Security Authentication
