Protezione del bucket Amazon S3 dal problema del "confused deputy" - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione del bucket Amazon S3 dal problema del "confused deputy"

Quando crei una versione del motore RDS personalizzato Amazon Custom for Oracle (CEV) o un'istanza DB RDS Custom for SQL Server, RDS Custom crea un bucket Amazon S3. Il bucket S3 memorizza file come CEV artefatti, log di ripristino (transazione), elementi di configurazione per il perimetro di supporto e log. AWS CloudTrail

È possibile rendere più sicuri questi bucket S3 utilizzando le chiavi di contesto delle condizioni globali per evitare problemi di tipo confused deputy. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

Il seguente esempio RDS Custom for Oracle mostra l'uso delle chiavi di aws:SourceAccount contesto aws:SourceArn e della condizione globale in una policy del bucket S3. Per RDS Custom for Oracle, assicurati di includere Amazon Resource Names (ARNs) per le CEVs e le istanze DB. Per RDS Custom for SQL Server, assicurati di includere le istanze ARN per le istanze DB.

...
{
  "Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess",
  "Effect": "Allow",
  "Principal": {
     "Service": "custom.rds.amazonaws.com"
  },
  "Action": [
     "s3:GetObject",
     "s3:GetObjectVersion",
     "s3:DeleteObject",
     "s3:DeleteObjectVersion",
     "s3:GetObjectRetention",
     "s3:BypassGovernanceRetention"
  ],
  "Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*",
  "Condition": {
     "ArnLike": {
        "aws:SourceArn": [
            "arn:aws:rds:us-east-2:123456789012:db:*",
            "arn:aws:rds:us-east-2:123456789012:cev:*/*"
        ]
     },
     "StringEquals": {
        "aws:SourceAccount": "123456789012"
    }
  }
},
...