Amazon RDS Custom에 대한 보안 고려 사항 - Amazon Relational Database Service

Amazon RDS Custom에 대한 보안 고려 사항

Amazon RDS Custom for Oracle 사용자 지정 엔진 버전(CEV) 또는 RDS Custom for SQL Server DB 인스턴스를 생성하면 RDS Custom이 Amazon S3 버킷을 생성합니다. S3 버킷은 CEV 아티팩트, 다시 실행(트랜잭션) 로그, 지원 경계에 대한 구성 항목 및 AWS CloudTrail 로그와 같은 파일을 저장합니다.

혼란스러운 대리인 문제를 방지하기 위해 전역 조건 컨텍스트 키를 사용하여 이러한 S3 버킷을 보다 안전하게 만들 수 있습니다. 자세한 내용은 교차 서비스 혼동된 대리자 문제 방지을 참조하세요.

다음 RDS Custom for Oracle 예는 S3 버킷 정책에서 aws:SourceArnaws:SourceAccount 전역 조건 컨텍스트 키의 사용을 보여줍니다. RDS Custom for Oracle의 경우 CEV 및 DB 인스턴스에 대한 Amazon 리소스 이름(ARN)을 포함해야 합니다. RDS Custom for SQL Server의 경우 DB 인스턴스 ARN을 포함해야 합니다.

... { "Sid": "AWSRDSCustomForOracleInstancesObjectLevelAccess", "Effect": "Allow", "Principal": { "Service": "custom.rds.amazonaws.com" }, "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectRetention", "s3:BypassGovernanceRetention" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-123456789012-us-east-2-c8a6f7/RDSCustomForOracle/Instances/*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:rds:us-east-2:123456789012:db:*", "arn:aws:rds:us-east-2:123456789012:cev:*/*" ] }, "StringEquals": { "aws:SourceAccount": "123456789012" } } }, ...