Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurisation de votre compartiment Amazon S3 contre le problème de l'adjoint confus
Lorsque vous créez une instance Amazon RDS Custom for Oracle CEV (custom engine version) ou une instance de base de données RDS Custom for SQL Server, RDS Custom crée un compartiment Amazon S3. Le compartiment S3 stocke des fichiers tels que les artefacts CEV, les journaux de reprise (transactions), les éléments de configuration du périmètre de support et les journaux AWS CloudTrail.
Vous pouvez rendre ces compartiments S3 plus sûrs en utilisant les clés de contexte de condition globale pour éviter le problème de l'adjoint confus. Pour plus d’informations, consultez Prévention des problèmes d'adjoint confus entre services.
L'exemple suivant de RDS Custom pour Oracle montre l'utilisation de aws:SourceArn et des clés de contexte de condition globale aws:SourceAccount dans une politique de compartiment S3. Pour Amazon RDS Custom for Oracle, veillez à inclure les noms Amazon Resource Name (ARN) pour les CEV et les instances de base de données. Pour RDS Custom for SQL Server, assurez-vous d'inclure l'ARN pour les instances de base de données.
... { "Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess", "Effect": "Allow", "Principal": { "Service": "custom.rds.amazonaws.com" }, "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectRetention", "s3:BypassGovernanceRetention" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:rds:us-east-2:123456789012:db:*", "arn:aws:rds:us-east-2:123456789012:cev:*/*" ] }, "StringEquals": { "aws:SourceAccount": "123456789012" } } }, ...
