Mengamankan bucket Amazon S3 Anda dari masalah "confused deputy" - Layanan Basis Data Relasional Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengamankan bucket Amazon S3 Anda dari masalah "confused deputy"

Saat Anda membuat Amazon RDS Custom for Oracle custom engine version (CEV) atau instans RDS Custom for SQL Server DB, RDS Custom akan membuat bucket Amazon S3. Bucket S3 menyimpan file seperti CEV artefak, log redo (transaksi), item konfigurasi untuk perimeter dukungan, dan log. AWS CloudTrail

Anda dapat membuat bucket S3 ini lebih aman dengan menggunakan kunci konteks kondisi global untuk mencegah masalah confused deputy. Untuk informasi selengkapnya, lihat Pencegahan masalah confused deputy lintas layanan.

Contoh RDS Custom for Oracle berikut menunjukkan penggunaan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan global dalam kebijakan bucket S3. Untuk RDS Custom for Oracle, pastikan untuk menyertakan Amazon Resource Names (ARNs) untuk instans CEVs dan DB. Untuk RDS Custom for SQL Server, pastikan untuk menyertakan instance ARN untuk DB.

...
{
  "Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess",
  "Effect": "Allow",
  "Principal": {
     "Service": "custom.rds.amazonaws.com"
  },
  "Action": [
     "s3:GetObject",
     "s3:GetObjectVersion",
     "s3:DeleteObject",
     "s3:DeleteObjectVersion",
     "s3:GetObjectRetention",
     "s3:BypassGovernanceRetention"
  ],
  "Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*",
  "Condition": {
     "ArnLike": {
        "aws:SourceArn": [
            "arn:aws:rds:us-east-2:123456789012:db:*",
            "arn:aws:rds:us-east-2:123456789012:cev:*/*"
        ]
     },
     "StringEquals": {
        "aws:SourceAccount": "123456789012"
    }
  }
},
...