# Segurança no Amazon RDS Custom
Familiarize-se com as considerações de segurança do RDS Custom.
Consulte mais informações sobre segurança do RDS Custom nos tópicos a seguir.
+ [Proteger o bucket do Amazon S3 contra o problema do substituto confuso](custom-security.confused-deputy.md)
+ [Alternar as credenciais do RDS Custom para Oracle para programas de conformidade](custom-security.cred-rotation.md)
## Como o RDS Custom gerencia com segurança as tarefas em seu nome
O RDS Custom utiliza as seguintes ferramentas e técnicas para executar operações com segurança em seu nome:
**Perfil vinculado a serviço AWSServiceRoleForRDSCustom**
Um *perfil vinculado a serviço* é predefinido pelo serviço e inclui todas as permissões que o serviço precisa para chamar outros Serviços da AWS em seu nome. Para o RDS Custom, `AWSServiceRoleForRDSCustom` é um perfil vinculado a serviço que é definido de acordo com o princípio do privilégio mínimo. O RDS Custom usa as permissões em `AmazonRDSCustomServiceRolePolicy`, que é a política associada a esse perfil, para realizar a maioria das tarefas de provisionamento e todas as tarefas de gerenciamento fora do host. Para obter mais informações, consulte [AmazonRDSCustomServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSCustomServiceRolePolicy.html).
Ao executar tarefas no host, a automação do RDS Custom usa credenciais do perfil vinculado a serviço para executar comandos usando o AWS Systems Manager. Você pode auditar o histórico de comandos por meio do histórico de comandos do Systems Manager e pelo AWS CloudTrail. O Systems Manager se conecta à sua instância de banco de dados do RDS Custom usando sua configuração de rede. Para obter mais informações, consulte [Etapa 4: Configurar o IAM para RDS Custom para Oracle](custom-setup-orcl.md#custom-setup-orcl.iam-vpc).
**Credenciais temporárias do IAM**
Ao provisionar ou excluir recursos, o RDS Custom às vezes utiliza credenciais temporárias derivadas das credenciais da entidade principal do IAM que realiza a chamada. Essas credenciais do IAM são restringidas pelas políticas do IAM anexadas a essa entidade principal e expiram após a conclusão da operação. Para saber mais sobre as permissões necessárias para entidades principais do IAM que usam o RDS Custom, consulte [Etapa 5: Conceder as permissões necessárias ao usuário ou ao perfil do IAM](custom-setup-orcl.md#custom-setup-orcl.iam-user).
**Perfil de instância do Amazon EC2**
Um perfil de instância do EC2 é um contêiner para um perfil do IAM que pode ser usado para transmitir as informações do perfil para uma instância do EC2. Uma instância do EC2 é a base de uma instância de banco de dados do RDS Custom. Você fornece um perfil de instância ao criar uma instância de banco de dados do RDS Custom. O RDS Custom usa as credenciais do perfil de instância do EC2 ao executar tarefas de gerenciamento baseadas em host, como backups. Para obter mais informações, consulte [Criar seu perfil do IAM e perfil de instância manualmente](custom-setup-orcl.md#custom-setup-orcl.iam).
**Par de chaves SSH**
Quando o RDS Custom cria a instância do EC2 como base de uma instância de banco de dados, ele cria um par de chaves SSH em seu nome. A chave utiliza o prefixo de nome `do-not-delete-rds-custom-ssh-privatekey-db-` ou `rds-custom!oracle-do-not-delete-{{db_resource_id-uuid}}-ssh-privatekey`. O AWS Secrets Manager armazena essa chave privada SSH como um segredo em sua Conta da AWS. O Amazon RDS não armazena, nem acessa, nem usa essas credenciais. Para obter mais informações, consulte [Pares de chaves do Amazon EC2 e instâncias do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html).
## Certificados SSL
As instâncias de banco de dados personalizadas do RDS não comportam certificados SSL gerenciados. Se quiser implantar o SSL, você pode autogerenciar certificados SSL em sua própria carteira e criar um receptor SSL para proteger as conexões entre o banco de dados do cliente ou para a replicação do banco de dados. Para obter mais informações, consulte [Configuring Transport Layer Security Authentication](https://docs.oracle.com/en/database/oracle/oracle-database/19/dbseg/configuring-secure-sockets-layer-authentication.html#GUID-6AD89576-526F-4D6B-A539-ADF4B840819F) na documentação do Oracle Database.