本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon RDS Custom 的安全性
<a name="custom-security"></a>

熟悉 RDS Custom 的安全考量。

如需 RDS Custom 安全性的詳細資訊，請參閱下列主題。
+ [保護您的 Amazon S3 儲存貯體，避免混淆代理人問題](custom-security.confused-deputy.md)
+ [輪換 RDS Custom for Oracle 憑證以符合合規計畫](custom-security.cred-rotation.md)

## RDS Custom 如何安全地代表您管理任務
<a name="custom-security.security-tools"></a>

RDS Custom 使用下列工具和技術代表您安全地執行操作：

**AWSServiceRoleForRDSCustom 服務連結角色**  
*服務連結角色*是由服務預先定義，內含該服務代您呼叫其他  AWS 服務  所需的所有許可。對於 RDS Custom，`AWSServiceRoleForRDSCustom` 是根據最低權限原則定義的服務連結角色。RDS Custom 會使用 `AmazonRDSCustomServiceRolePolicy` 中的權限 (連接此角色的政策) 來執行大部分的佈建和所有非主機的管理任務。如需詳細資訊，請參閱 [AmazonRDSCustomServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSCustomServiceRolePolicy.html)。  
在主機上執行任務時，RDS Custom 自動化會使用服務連結角色的登入資料來執行 命令 AWS Systems Manager。您可以透過系統管理員指令歷程記錄和  AWS CloudTrail 來稽核命令歷史記錄。系統管理員會使用您的網路設定連線到 RDS Custom 資料庫執行個體。如需詳細資訊，請參閱[步驟 4：設定 RDS Custom for Oracle 的 IAM](custom-setup-orcl.md#custom-setup-orcl.iam-vpc)。

**暫時性 IAM 憑證**  
佈建或刪除資源時，RDS Custom 有時會使用暫時性憑證，其是由呼叫 IAM 主體憑證衍生而來。這些 IAM 憑證受到該主體所連接的 IAM 政策限制，並在操作完成後隨即過期。如需了解使用 RDS Custom 的 IAM 主體所需許可，請參閱 [步驟 5：將所需的許可授予您的 IAM 使用者或角色](custom-setup-orcl.md#custom-setup-orcl.iam-user)。

**Amazon EC2 執行個體設定檔**  
EC2 執行個體設定檔是適用於 IAM 角色的容器，可讓您將角色資訊傳遞至 EC2 執行個體。EC2 執行個體位於 RDS Custom 資料庫執行個體的底層。建立 RDS Custom 資料庫執行個體時，您可以提供執行個體設定檔。在執行以主機為基礎的管理任務 (例如備份) 時，RDS Custom 會使用 EC2 執行個體設定檔憑證。如需詳細資訊，請參閱[手動建立 IAM 角色和執行個體設定檔](custom-setup-orcl.md#custom-setup-orcl.iam)。

**SSH 金鑰對**  
當 RDS Custom 建立資料庫執行個體底層的 EC2 執行個體時，它會代表您建立 SSH 金鑰對。金鑰使用命名前綴 `do-not-delete-rds-custom-ssh-privatekey-db-` 或 `rds-custom!oracle-do-not-delete-{{db_resource_id-uuid}}-ssh-privatekey`。 AWS Secrets Manager 會將此 SSH 私有金鑰作為秘密儲存於 AWS 帳戶。Amazon RDS 不會儲存、存取或使用這些憑證。如需詳細資訊，請參閱 [Amazon EC2 金鑰對與 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。

## SSL 憑證
<a name="custom-security.ssl"></a>

RDS Custom 資料庫執行個體不支援受管 SSL 憑證。如果您要部署 SSL，可以在自己的錢包中自行管理 SSL 憑證，並建立 SSL 接聽程式，以保護用戶端資料庫之間或資料庫複寫的連線。如需詳細資訊，請參閱 Oracle Database 文件中的[設定 Transport Layer Security 身分驗證](https://docs.oracle.com/en/database/oracle/oracle-database/19/dbseg/configuring-secure-sockets-layer-authentication.html#GUID-6AD89576-526F-4D6B-A539-ADF4B840819F)。