Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Sécurité dans Amazon RDS Custom
<a name="custom-security"></a>

Familiarisez-vous avec sur les considérations de sécurité pour RDS Custom.

Pour plus d’informations sur la sécurité pour RDS Custom, consultez les rubriques suivantes.
+ [Sécurisation de votre compartiment Amazon S3 contre le problème de l'adjoint confus](custom-security.confused-deputy.md)
+ [Rotation des informations d'identification RDS Custom for Oracle pour les programmes de conformité](custom-security.cred-rotation.md)

## Comment RDS Custom gère les tâches en votre nom en toute sécurité
<a name="custom-security.security-tools"></a>

RDS Custom utilise les outils et techniques suivants pour exécuter en toute sécurité des opérations en votre nom :

**AWSServiceRoleForRDSCustom rôle lié au service**  
Un *rôle lié à un service* est prédéfini par le service et inclut toutes les autorisations requises par le service pour appeler d'autres  Services AWS  en votre nom. Pour RDS Custom, `AWSServiceRoleForRDSCustom` est un rôle lié à un service, défini selon le principe du moindre privilège. RDS Custom utilise les autorisations définies dans `AmazonRDSCustomServiceRolePolicy`, qui constitue la politique attachée à ce rôle, pour effectuer la plupart des tâches de provisionnement et toutes les tâches de gestion hors hôte. Pour plus d'informations, consultez [Amazon RDSCustom ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSCustomServiceRolePolicy.html).  
Lorsqu'il exécute des tâches sur l'hôte, RDS Custom Automation utilise les informations d'identification du rôle lié au service pour exécuter des commandes à l'aide de. AWS Systems Manager Vous pouvez auditer l'historique des commandes via l'historique des commandes de Systems Manager et  AWS CloudTrail. Systems Manager se connecte à votre instance de base de données RDS Custom à l'aide de votre configuration réseau. Pour de plus amples informations, veuillez consulter [Étape 4 : configuration d’IAM pour RDS Custom for Oracle](custom-setup-orcl.md#custom-setup-orcl.iam-vpc).

**Informations d'identification IAM temporaires**  
Lors du provisionnement ou de la suppression de ressources, RDS Custom utilise parfois des informations d'identification temporaires dérivées des informations d'identification du principal IAM appelant. Ces informations d'identification IAM sont limitées par les politiques IAM attachées à ce principal et expirent une fois l'opération terminée. Pour en savoir plus sur les autorisations requises pour les principaux IAM qui utilisent RDS Custom, consultez [Étape 5 : octroi des autorisations requises à votre utilisateur ou rôle IAM](custom-setup-orcl.md#custom-setup-orcl.iam-user).

**Profil d'instance Amazon EC2**  
Un profil d'instance EC2 est un conteneur pour un rôle IAM que vous pouvez utiliser pour transmettre les informations liées au rôle à une instance EC2. Une instance EC2 sous-tend une instance de base de données RDS Custom. Vous fournissez un profil d'instance lorsque vous créez une instance de base de données RDS Custom. RDS Custom utilise les informations d'identification du profil d'instance EC2 lorsqu'il exécute des tâches de gestion basées sur l'hôte, telles que des sauvegardes. Pour de plus amples informations, veuillez consulter [Créer manuellement votre profil d'instance et de rôle IAM](custom-setup-orcl.md#custom-setup-orcl.iam).

**Paire de clés SSH**  
Quand RDS Custom crée l'instance EC2 qui sous-tend une instance de base de données, il crée une paire de clés SSH en votre nom. Le nom de la clé inclut le préfixe `do-not-delete-rds-custom-ssh-privatekey-db-` ou `rds-custom!oracle-do-not-delete-db_resource_id-uuid-ssh-privatekey`. AWS Secrets Manager stocke cette clé privée SSH en tant que secret dans votre Compte AWS. Amazon RDS ne stocke pas ces informations d'identification, n'y accède pas et ne les utilise pas. Pour plus d'informations, consultez [Paires de clés Amazon EC2 et instances Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html).

## Certificats SSL
<a name="custom-security.ssl"></a>

Les instances de base de données RDS Custom ne prennent pas en charge les certificats SSL gérés. Si vous souhaitez déployer SSL, vous pouvez gérer vous-même les certificats SSL dans votre propre portefeuille et créer un écouteur SSL pour sécuriser les connexions entre la base de données cliente ou pour la réplication de base de données. Pour en savoir plus, consultez [Configuring Transport Layer Security Authentication](https://docs.oracle.com/en/database/oracle/oracle-database/19/dbseg/configuring-secure-sockets-layer-authentication.html#GUID-6AD89576-526F-4D6B-A539-ADF4B840819F) dans la documentation Oracle Database.