Protección de su bucket de Amazon S3 contra el problema del suplente confuso - Amazon Relational Database Service

Protección de su bucket de Amazon S3 contra el problema del suplente confuso

Cuando crea una versión del motor personalizado de Amazon RDS Custom para Oracle o una instancia de base de datos de RDS Custom para SQL Server, RDS Custom crea un bucket de Amazon S3. El bucket de S3 almacena archivos como artefactos CEV, registros REDO (transacciones), elementos de configuración para el perímetro de soporte y registros AWS CloudTrail.

Puede hacer que estos buckets de S3 sean más seguros mediante el uso de las claves de contexto de condición global para evitar el problema del suplente confuso. Para obtener más información, consulte Prevención de los problemas del suplente confuso entre servicios.

El siguiente ejemplo de RDS Custom para Oracle muestra el uso de las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en una política de bucket de S3. Para RDS Custom para Oracle, asegúrese de incluir los nombres de recursos de Amazon (ARN) para los CEV y las instancias de base de datos. Para RDS Custom para SQL Server, asegúrese de incluir el ARN para las instancias de base de datos.

...
{
  "Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess",
  "Effect": "Allow",
  "Principal": {
     "Service": "custom.rds.amazonaws.com"
  },
  "Action": [
     "s3:GetObject",
     "s3:GetObjectVersion",
     "s3:DeleteObject",
     "s3:DeleteObjectVersion",
     "s3:GetObjectRetention",
     "s3:BypassGovernanceRetention"
  ],
  "Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*",
  "Condition": {
     "ArnLike": {
        "aws:SourceArn": [
            "arn:aws:rds:us-east-2:123456789012:db:*",
            "arn:aws:rds:us-east-2:123456789012:cev:*/*"
        ]
     },
     "StringEquals": {
        "aws:SourceAccount": "123456789012"
    }
  }
},
...