Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schützen Ihres Amazon-S3-Buckets vor dem Problem des verwirrten Stellvertreters
Wenn Sie eine RDS benutzerdefinierte Engine-Version (CEV) von Amazon Custom for Oracle oder eine RDS Custom for SQL Server-DB-Instance erstellen, erstellt RDS Custom einen Amazon S3 S3-Bucket. Der S3-Bucket speichert Dateien wie CEV Artefakte, Redo-Logs (Transaktions-) Logs, Konfigurationselemente für den Support-Perimeter und AWS CloudTrail Logs.
Sie können diese S3-Buckets sicherer machen, indem Sie die globalen Bedingungskontextschlüssel verwenden, um „confused deputy problem“ zu verhindern. Weitere Informationen finden Sie unter Vermeidung des dienstübergreifenden Confused-Deputy-Problems.
Das folgende Beispiel für RDS Custom for Oracle zeigt die Verwendung der Kontextschlüssel aws:SourceArn und der aws:SourceAccount globalen Bedingungsschlüssel in einer S3-Bucket-Richtlinie. Stellen Sie bei RDS Custom for Oracle sicher, dass Sie die Amazon-Ressourcennamen (ARNs) für die CEVs und die DB-Instances angeben. Stellen Sie bei RDS Benutzerdefiniert für SQL Server sicher, dass Sie die ARN für die DB-Instances angeben.
... { "Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess", "Effect": "Allow", "Principal": { "Service": "custom.rds.amazonaws.com" }, "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectRetention", "s3:BypassGovernanceRetention" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:rds:us-east-2:123456789012:db:*", "arn:aws:rds:us-east-2:123456789012:cev:*/*" ] }, "StringEquals": { "aws:SourceAccount": "123456789012" } } }, ...
