Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schützen Ihres Amazon-S3-Buckets vor dem Problem des verwirrten Stellvertreters
Wenn Sie eine DB-Instance von Amazon RDS Custom für Oracle Custom Engine (CEV) oder eine DB-Instance von RDS Custom für SQL Server erstellen, erstellt RDS Custom einen Amazon S3-Bucket. Der S3-Bucket speichert Dateien wie CEV-Artefakte, Redo- (Transaktions-) Protokolle, Konfigurationselemente für den Support-Perimeter und AWS CloudTrail-Protokolle.
Sie können diese S3-Buckets sicherer machen, indem Sie die globalen Bedingungskontextschlüssel verwenden, um „confused deputy problem“ zu verhindern. Weitere Informationen finden Sie unter Vermeidung des dienstübergreifenden Confused-Deputy-Problems.
Das folgende Beispiel von RDS Custom für Oracle zeigt die Verwendung der aws:SourceArn und aws:SourceAccount Kontext-Schlüssel für globale Bedingungen in einer S3-Bucket-Richtlinie. Stellen Sie für RDS Custom für Oracle sicher, dass Sie die Amazon Resource Names (ARNs) für die CEVs und die DB-Instances angeben. Stellen Sie für RDS Custom für SQL Server sicher, dass Sie den ARN für die DB-Instances einschließen.
... { "Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess", "Effect": "Allow", "Principal": { "Service": "custom.rds.amazonaws.com" }, "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectRetention", "s3:BypassGovernanceRetention" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:rds:us-east-2:123456789012:db:*", "arn:aws:rds:us-east-2:123456789012:cev:*/*" ] }, "StringEquals": { "aws:SourceAccount": "123456789012" } } }, ...
