保護您的 Amazon S3 儲存貯體,避免混淆代理人問題 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

保護您的 Amazon S3 儲存貯體,避免混淆代理人問題

當您建立 Amazon RDS Custom for Oracle 自訂引擎版本 (CEV) 或 RDS Custom for SQL Server 資料庫執行個體時,RDSCustom 會建立 Amazon S3 儲存貯體。S3 儲存貯體存放CEV成品、重做 (交易) 日誌、支援周邊的組態項目和 AWS CloudTrail 日誌等檔案。

您可以使用全域條件內容金鑰來防止全混淆代理人問題,使 S3 儲存貯體貯體更加安全。如需詳細資訊,請參閱防止跨服務混淆代理人問題

下列 RDS Custom for Oracle 範例顯示 S3 儲存貯體政策中使用 aws:SourceArnaws:SourceAccount全域條件內容金鑰。對於 RDS Custom for Oracle,請務必包含 CEVs和 資料庫執行個體的 Amazon Resource Names (ARNs)。對於 RDS Custom for SQL Server,請務必包含資料庫執行個體ARN的 。

...
{
  "Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess",
  "Effect": "Allow",
  "Principal": {
     "Service": "custom.rds.amazonaws.com"
  },
  "Action": [
     "s3:GetObject",
     "s3:GetObjectVersion",
     "s3:DeleteObject",
     "s3:DeleteObjectVersion",
     "s3:GetObjectRetention",
     "s3:BypassGovernanceRetention"
  ],
  "Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*",
  "Condition": {
     "ArnLike": {
        "aws:SourceArn": [
            "arn:aws:rds:us-east-2:123456789012:db:*",
            "arn:aws:rds:us-east-2:123456789012:cev:*/*"
        ]
     },
     "StringEquals": {
        "aws:SourceAccount": "123456789012"
    }
  }
},
...