Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis sumber daya umum
Contoh-contoh ini menunjukkan pola umum untuk mengontrol akses ke cluster Aurora DSQL Anda. Anda dapat menggabungkan dan memodifikasi pola-pola ini untuk memenuhi persyaratan akses spesifik Anda.
Blokir akses internet publik
Kebijakan ini memblokir koneksi ke klaster Aurora DSQL Anda dari internet publik (non-VPC). Kebijakan ini tidak menentukan dari mana pelanggan VPC dapat terhubung—hanya saja mereka harus terhubung dari VPC. Untuk membatasi akses ke VPC tertentu, gunakan aws:SourceVpc dengan operator StringEquals kondisi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" } } } ] }
catatan
Contoh ini hanya digunakan aws:SourceVpc untuk memeriksa koneksi VPC. Kunci aws:VpcSourceIp dan aws:SourceVpce kondisi memberikan perincian tambahan tetapi tidak diperlukan untuk kontrol VPC-only akses dasar.
Untuk memberikan pengecualian untuk peran tertentu, gunakan kebijakan ini sebagai gantinya:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessFromOutsideVPC", "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" }, "StringNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/ExceptionRole", "arn:aws:iam::123456789012:role/AnotherExceptionRole" ] } } } ] }
Batasi akses ke AWS Organisasi
Kebijakan ini membatasi akses ke prinsipal dalam Organisasi: AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a", "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-exampleorgid" } } } ] }
Membatasi akses ke Unit Organisasi tertentu
Kebijakan ini membatasi akses ke kepala sekolah dalam Unit Organisasi (OU) tertentu dalam suatu Organisasi, memberikan kontrol yang lebih terperinci daripada akses di seluruh AWS organisasi:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a", "Condition": { "StringNotLike": { "aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*" } } } ] }
Multi-Region kebijakan klaster
Untuk klaster Multi-region, setiap kluster regional mempertahankan kebijakan sumber dayanya sendiri, memungkinkan kontrol. Region-specific Berikut adalah contoh dengan kebijakan berbeda per wilayah:
kebijakan us-east-1:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-east1-id" }, "Null": { "aws:SourceVpc": "true" } } } ] }
kebijakan us-east-2:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-east2-id" } } } ] }
catatan
Kunci konteks kondisi dapat bervariasi antara Region AWS (seperti ID VPC).
