# Amazon RDS Custom 中的安全性
<a name="custom-security"></a>

自行熟悉 RDS Custom 的安全注意事项。

有关 RDS Custom 的安全性的更多信息，请参阅以下主题。
+ [保护 Amazon S3 桶免受混淆代理人问题影响](custom-security.confused-deputy.md)
+ [轮换 RDS Custom for Oracle 凭证以遵循合规性计划](custom-security.cred-rotation.md)

## RDS Custom 如何代表您安全地管理任务
<a name="custom-security.security-tools"></a>

RDS Custom 使用以下工具和方法来代表您安全地运行操作：

**AWSServiceRoleForRDSCustom 服务相关角色**  
*服务相关角色*是由服务预定义的，包含该服务代表您调用其他 Amazon Web Services 服务所需的所有权限。对于 RDS Custom，`AWSServiceRoleForRDSCustom` 是根据最低权限原则定义的服务相关角色。RDS Custom 使用 `AmazonRDSCustomServiceRolePolicy` 中的权限（即附加到此角色的策略）来执行大多数预置和所有脱离主机的管理任务。有关更多信息，请参阅 [AmazonRDSCustomServiceRolePolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AmazonRDSCustomServiceRolePolicy.html)。  
在主机上执行任务时，RDS Custom 自动化通过 Amazon Systems Manager 使用来自服务相关角色的凭证来运行命令。您可以通过 Systems Manager 命令历史记录和 Amazon CloudTrail 来审计命令历史记录。Systems Manager 使用您的网络设置连接到您的 RDS Custom 数据库实例。有关更多信息，请参阅 [步骤 4：为 RDS Custom for Oracle 配置 IAM](custom-setup-orcl.md#custom-setup-orcl.iam-vpc)。

**临时 IAM 凭证**  
在预置或删除资源时，RDS Custom 有时会使用从发出调用的 IAM 主体的凭证中派生的临时凭证。这些 IAM 凭证受附加到该主体的 IAM policy 限制，并在操作完成后过期。要了解使用 RDS Custom 的 IAM 主体所需的权限，请参阅[步骤 5：为您的 IAM 用户或角色授予所需的权限](custom-setup-orcl.md#custom-setup-orcl.iam-user)。

**Amazon EC2 实例配置文件**  
EC2 实例配置文件是 IAM 角色的容器，可用来将角色信息传递给 EC2 实例。EC2 实例是 RDS Custom 数据库实例的基础。创建 RDS Custom 数据库实例时，您需要提供实例配置文件。RDS Custom 在执行基于主机的管理任务（例如备份）时，使用 EC2 实例配置文件凭证。有关更多信息，请参阅 [手动创建您的 IAM 角色和实例配置文件](custom-setup-orcl.md#custom-setup-orcl.iam)。

**SSH 密钥对**  
当 RDS Custom 创建作为数据库实例基础的 EC2 实例时，它会代表您创建 SSH 密钥对。密钥使用命名前缀 `do-not-delete-rds-custom-ssh-privatekey-db-` 或 `rds-custom!oracle-do-not-delete-db_resource_id-uuid-ssh-privatekey`。Amazon Secrets Manager 将此 SSH 私有密钥存储为您的 Amazon Web Services 账户中的密钥。Amazon RDS 不存储、访问或使用这些凭证。有关更多信息，请参阅 [Amazon EC2 密钥对和 Linux 实例](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。

## SSL 证书
<a name="custom-security.ssl"></a>

RDS Custom 数据库实例不支持托管式 SSL 证书。如果要部署 SSL，则可以在自己的钱包中自行管理 SSL 证书，并创建 SSL 侦听器来保护客户端数据库之间的连接或进行数据库复制。有关更多信息，请参阅 Oracle 数据库文档中的[配置传输层安全性协议身份验证](https://docs.oracle.com/en/database/oracle/oracle-database/19/dbseg/configuring-secure-sockets-layer-authentication.html#GUID-6AD89576-526F-4D6B-A539-ADF4B840819F)。