Amazon RDS Custom 的安全性

服務連結角色是由服務預先定義，內含該服務代您呼叫其他  AWS 服務  所需的所有許可。對於 RDS Custom，AWSServiceRoleForRDSCustom 是根據最低權限原則定義的服務連結角色。RDS Custom 會使用 AmazonRDSCustomServiceRolePolicy 中的權限 (連接此角色的政策) 來執行大部分的佈建和所有非主機的管理任務。如需詳細資訊，請參閱 AmazonRDSCustomServiceRolePolicy。

在主機上執行任務時，RDS Custom 自動化會使用服務連結角色的登入資料來執行 命令 AWS Systems Manager。您可以透過系統管理員指令歷程記錄和  AWS CloudTrail 來稽核命令歷史記錄。系統管理員會使用您的網路設定連線到 RDS Custom 資料庫執行個體。如需詳細資訊，請參閱步驟 4：設定 RDS Custom for Oracle 的 IAM。

佈建或刪除資源時，RDS Custom 有時會使用暫時性憑證，其是由呼叫 IAM 主體憑證衍生而來。這些 IAM 憑證受到該主體所連接的 IAM 政策限制，並在操作完成後隨即過期。如需了解使用 RDS Custom 的 IAM 主體所需許可，請參閱 步驟 5：將必要的許可授予您的 IAM 使用者或角色。

EC2 執行個體設定檔是適用於 IAM 角色的容器，可讓您將角色資訊傳遞至 EC2 執行個體。EC2 執行個體位於 RDS Custom 資料庫執行個體的底層。建立 RDS Custom 資料庫執行個體時，您可以提供執行個體設定檔。在執行以主機為基礎的管理任務 (例如備份) 時，RDS Custom 會使用 EC2 執行個體設定檔憑證。如需詳細資訊，請參閱手動建立 IAM 角色和執行個體設定檔。

當 RDS Custom 建立資料庫執行個體底層的 EC2 執行個體時，它會代表您建立 SSH 金鑰對。金鑰使用命名字首 do-not-delete-rds-custom-ssh-privatekey-db-或 rds-custom!oracle-do-not-delete-db_resource_id-uuid-ssh-privatekey。 AWS Secrets Manager 會將此 SSH 私有金鑰儲存為 中的秘密 AWS 帳戶。Amazon RDS 不會儲存、存取或使用這些憑證。如需詳細資訊，請參閱 Amazon EC2 金鑰對與 Linux 執行個體。