Amazon RDS Custom 中的安全性 - Amazon Relational Database Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon RDS Custom 中的安全性

自行熟悉 RDS Custom 的安全注意事项。

有关 RDS Custom 的安全性的更多信息,请参阅以下主题。

RDS Custom 如何代表您安全地管理任务

RDS Custom 使用以下工具和方法来代表您安全地运行操作:

AWSServiceRoleForRDSCustom 服务相关角色

服务相关角色是由服务预定义的,包含该服务代表您调用其他 Amazon Web Services 服务所需的所有权限。对于 RDS Custom,AWSServiceRoleForRDSCustom 是根据最低权限原则定义的服务相关角色。RDS Custom 使用 AmazonRDSCustomServiceRolePolicy 中的权限(即附加到此角色的策略)来执行大多数预置和所有脱离主机的管理任务。有关更多信息,请参阅 AmazonRDSCustomServiceRolePolicy

在主机上执行任务时,RDS Custom 自动化通过 Amazon Systems Manager 使用来自服务相关角色的凭证来运行命令。您可以通过 Systems Manager 命令历史记录和 Amazon CloudTrail 来审计命令历史记录。Systems Manager 使用您的网络设置连接到您的 RDS Custom 数据库实例。有关更多信息,请参阅 步骤 4:为 RDS Custom for Oracle 配置 IAM

临时 IAM 凭证

在预置或删除资源时,RDS Custom 有时会使用从发出调用的 IAM 主体的凭证中派生的临时凭证。这些 IAM 凭证受附加到该主体的 IAM policy 限制,并在操作完成后过期。要了解使用 RDS Custom 的 IAM 主体所需的权限,请参阅步骤 5:为您的 IAM 用户或角色授予所需的权限

Amazon EC2 实例配置文件

EC2 实例配置文件是 IAM 角色的容器,可用来将角色信息传递给 EC2 实例。EC2 实例是 RDS Custom 数据库实例的基础。创建 RDS Custom 数据库实例时,您需要提供实例配置文件。RDS Custom 在执行基于主机的管理任务(例如备份)时,使用 EC2 实例配置文件凭证。有关更多信息,请参阅 手动创建您的 IAM 角色和实例配置文件

SSH 密钥对

当 RDS Custom 创建作为数据库实例基础的 EC2 实例时,它会代表您创建 SSH 密钥对。密钥使用命名前缀 do-not-delete-rds-custom-ssh-privatekey-db-。Amazon Secrets Manager 将此 SSH 私有密钥存储为您的 Amazon Web Services 账户中的密钥。Amazon RDS 不存储、访问或使用这些凭证。有关更多信息,请参阅 Amazon EC2 密钥对和 Linux 实例

SSL 证书

RDS Custom 数据库实例不支持托管式 SSL 证书。如果要部署 SSL,则可以在自己的钱包中自行管理 SSL 证书,并创建 SSL 侦听器来保护客户端数据库之间的连接或进行数据库复制。有关更多信息,请参阅 Oracle 数据库文档中的配置传输层安全性协议身份验证