Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di Amazon Aurora DSQL
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku untuk Amazon Aurora DSQL, lihat [AWS Layanan dalam Lingkup oleh Program Kepatuhan dalam Lingkup oleh Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Aurora DSQL. Topik berikut menunjukkan cara mengkonfigurasi Aurora DSQL untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Aurora DSQL Anda.
**Topics**
+ [
# AWS kebijakan terkelola untuk Amazon Aurora DSQL
](security-iam-awsmanpol.md)
+ [
# Perlindungan data di Amazon Aurora DSQL
](data-protection.md)
+ [
# Enkripsi data untuk Amazon Aurora DSQL
](data-encryption.md)
+ [
# Manajemen identitas dan akses untuk Aurora DSQL
](security-iam.md)
+ [
# Kebijakan berbasis sumber daya untuk Aurora DSQL
](resource-based-policies.md)
+ [
# Menggunakan peran terkait layanan di Aurora DSQL
](working-with-service-linked-roles.md)
+ [
# Menggunakan kunci kondisi IAM dengan Amazon Aurora DSQL
](using-iam-condition-keys.md)
+ [
# Respon insiden di Amazon Aurora DSQL
](incident-response.md)
+ [
# Validasi kepatuhan untuk Amazon Aurora DSQL
](compliance-validation.md)
+ [
# Ketahanan di Amazon Aurora DSQL
](disaster-recovery-resiliency.md)
+ [
# Keamanan Infrastruktur di Amazon Aurora DSQL
](infrastructure-security.md)
+ [
# Analisis konfigurasi dan kerentanan di Amazon Aurora DSQL
](configuration-vulnerability.md)
+ [
# Pencegahan "confused deputy" lintas layanan
](cross-service-confused-deputy-prevention.md)
+ [
# Praktik terbaik keamanan untuk Aurora DSQL
](best-practices-security.md)
# AWS kebijakan terkelola untuk Amazon Aurora DSQL
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AmazonAurora DSQLFull Akses
Anda dapat melampirkan `AmazonAuroraDSQLFullAccess` ke pengguna, grup, dan peran Anda.
Kebijakan ini memberikan izin yang memungkinkan akses administratif penuh ke Aurora DSQL. Prinsipal dengan izin ini dapat:
+ Buat, hapus, dan perbarui cluster Aurora DSQL, termasuk klaster Multi-wilayah
+ Mengelola kebijakan inline cluster (membuat, melihat, memperbarui, dan menghapus kebijakan)
+ Menambahkan dan menghapus tag dari cluster
+ Buat daftar cluster dan lihat informasi tentang cluster individu
+ Lihat tag yang dilampirkan pada cluster Aurora DSQL
+ Connect ke database sebagai pengguna manapun, termasuk admin
+ Lakukan operasi pencadangan dan pemulihan untuk cluster Aurora DSQL, termasuk memulai, menghentikan, dan memantau pekerjaan pencadangan dan pemulihan
+ Gunakan AWS KMS kunci yang dikelola pelanggan untuk enkripsi klaster
+ Lihat metrik apa pun dari CloudWatch akun mereka
+ Gunakan AWS Fault Injection Service (AWS FIS) untuk menyuntikkan kegagalan ke cluster Aurora DSQL untuk pengujian toleransi kesalahan
+ Buat peran terkait layanan untuk `dsql.amazonaws.com` layanan, yang diperlukan untuk membuat cluster
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `dsql`—memberikan kepala sekolah akses penuh ke Aurora DSQL.
+ `cloudwatch`—memberikan izin untuk mempublikasikan titik data metrik ke Amazon. CloudWatch
+ `iam`—memberikan izin untuk membuat peran terkait layanan.
+ `backup and restore`—memberikan izin untuk memulai, menghentikan, dan memantau pencadangan dan pemulihan pekerjaan untuk klaster Aurora DSQL.
+ `kms`—memberikan izin yang diperlukan untuk memvalidasi akses ke kunci yang dikelola pelanggan yang digunakan untuk enkripsi klaster Aurora DSQL saat membuat, memperbarui, atau menghubungkan ke cluster.
+ `fis`—memberikan izin untuk menggunakan ( AWS Fault Injection Service AWS FIS) untuk menyuntikkan kegagalan ke cluster Aurora DSQL untuk pengujian toleransi kesalahan.
Anda dapat menemukan `AmazonAuroraDSQLFullAccess` kebijakan di konsol IAM dan di [Panduan Referensi Kebijakan AWS Terkelola](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLFullAccess.html).
## AWS kebijakan terkelola: AmazonAurora DSQLRead OnlyAccess
Anda dapat melampirkan `AmazonAuroraDSQLReadOnlyAccess` ke pengguna, grup, dan peran Anda.
Memungkinkan akses baca ke Aurora DSQL. Prinsipal dengan izin ini dapat mencantumkan kluster dan melihat informasi tentang kluster individu. Mereka dapat melihat tag yang dilampirkan ke cluster Aurora DSQL, dan melihat kebijakan inline cluster. Mereka dapat mengambil dan melihat metrik apa pun dari akun CloudWatch Anda.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `dsql`— memberikan izin baca saja untuk semua sumber daya di Aurora DSQL.
+ `cloudwatch`— memberikan izin untuk mengambil jumlah batch data CloudWatch metrik dan melakukan matematika metrik pada data yang diambil
Anda dapat menemukan `AmazonAuroraDSQLReadOnlyAccess` kebijakan di konsol IAM dan [Panduan Referensi Kebijakan AWS Terkelola](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLReadOnlyAccess.html).
## AWS kebijakan terkelola: AmazonAurora DSQLConsole FullAccess
Anda dapat melampirkan `AmazonAuroraDSQLConsoleFullAccess` ke pengguna, grup, dan peran Anda.
Memungkinkan akses administratif penuh ke Amazon Aurora DSQL melalui file. Konsol Manajemen AWS Prinsipal dengan izin ini dapat:
+ Buat, hapus, dan perbarui cluster Aurora DSQL, termasuk cluster Multi-region, dengan konsol
+ Mengelola kebijakan inline cluster melalui konsol (membuat, melihat, memperbarui, dan menghapus kebijakan)
+ Buat daftar cluster dan lihat informasi tentang cluster individu
+ Lihat tag pada sumber daya apa pun di akun Anda
+ Connect ke database sebagai pengguna manapun, termasuk admin
+ Lakukan operasi pencadangan dan pemulihan untuk cluster Aurora DSQL, termasuk memulai, menghentikan, dan memantau pekerjaan pencadangan dan pemulihan
+ Gunakan AWS KMS kunci yang dikelola pelanggan untuk enkripsi klaster
+ Peluncuran AWS CloudShell dari Konsol Manajemen AWS
+ Melihat metrik apa pun dari CloudWatch akun Anda
+ Gunakan AWS Fault Injection Service (AWS FIS) untuk menyuntikkan kegagalan ke cluster Aurora DSQL untuk pengujian toleransi kesalahan
+ Buat peran terkait layanan untuk `dsql.amazonaws.com` layanan, yang diperlukan untuk membuat cluster
Anda dapat menemukan `AmazonAuroraDSQLConsoleFullAccess` kebijakan di konsol IAM dan [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLConsoleFullAccess.html)di Panduan Referensi Kebijakan AWS Terkelola.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `dsql`—memberikan izin administratif penuh untuk semua sumber daya di Aurora DSQL melalui file. Konsol Manajemen AWS
+ `cloudwatch`—memberikan izin untuk mengambil jumlah batch data metrik dan melakukan matematika CloudWatch metrik pada data yang diambil.
+ `tag`—memberikan izin untuk mengembalikan kunci tag dan nilai yang saat ini digunakan dalam yang ditentukan Wilayah AWS untuk akun panggilan.
+ `backup and restore`—memberikan izin untuk memulai, menghentikan, dan memantau pencadangan dan pemulihan pekerjaan untuk klaster Aurora DSQL.
+ `kms`—memberikan izin yang diperlukan untuk memvalidasi akses ke kunci yang dikelola pelanggan yang digunakan untuk enkripsi klaster Aurora DSQL saat membuat, memperbarui, atau menghubungkan ke cluster.
+ `cloudshell`—memberikan izin untuk meluncurkan untuk berinteraksi dengan Aurora AWS CloudShell DSQL.
+ `ec2`—memberikan izin untuk melihat informasi titik akhir VPC Amazon yang diperlukan untuk koneksi Aurora DSQL.
+ `fis`—memberikan izin untuk digunakan untuk menyuntikkan kegagalan AWS FIS ke cluster Aurora DSQL untuk pengujian toleransi kesalahan.
+ `access-analyzer:ValidatePolicy`memberikan izin untuk linter di editor kebijakan, yang memberikan umpan balik real-time tentang kesalahan, peringatan, dan masalah keamanan dalam kebijakan saat ini.
+ `fis`—memberikan izin untuk menggunakan ( AWS Fault Injection Service AWS FIS) untuk menyuntikkan kegagalan ke cluster Aurora DSQL untuk pengujian toleransi kesalahan.
Anda dapat menemukan `AmazonAuroraDSQLConsoleFullAccess` kebijakan di konsol IAM dan [Panduan Referensi Kebijakan AWS Terkelola](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLConsoleFullAccess.html).
## AWS kebijakan terkelola: Aurora DSQLService RolePolicy
Anda tidak dapat melampirkan Aurora DSQLService RolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan Aurora DSQL mengakses sumber daya akun.
Anda dapat menemukan `AuroraDSQLServiceRolePolicy` kebijakan di konsol IAM dan [DSQLServiceRolePolicyAurora](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDSQLServiceRolePolicy.html) di Panduan Referensi Kebijakan AWS Terkelola.
## Aurora DSQL memperbarui kebijakan terkelola AWS
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Aurora DSQL sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Aurora DSQL.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| AmazonAuroraDSQLFullAkses dan AmazonAurora DSQLConsole FullAccess perbarui | Menambahkan dukungan untuk integrasi AWS Fault Injection Service (AWS FIS) dengan Aurora DSQL. Ini memungkinkan Anda untuk menyuntikkan kegagalan ke dalam kluster DSQL Aurora wilayah tunggal dan Multi-wilayah untuk menguji toleransi kesalahan aplikasi Anda. Anda dapat membuat template eksperimen di AWS FIS konsol untuk menentukan skenario kegagalan dan menargetkan cluster Aurora DSQL tertentu untuk pengujian. Untuk selengkapnya tentang kebijakan ini, lihat [AmazonAuroraDSQLFullAkses](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess) dan [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess). | Agustus 19, 2025 |
| AmazonAuroraDSQLFullAkses, AmazonAurora DSQLReadOnlyAccess, dan AmazonAurora DSQLConsole FullAccess perbarui | Menambahkan dukungan kebijakan berbasis sumber daya (RBP) dengan izin baru:,, dan. `PutClusterPolicy` `GetClusterPolicy` `DeleteClusterPolicy` Izin ini memungkinkan pengelolaan kebijakan sebaris yang dilampirkan ke cluster Aurora DSQL untuk kontrol akses berbutir halus. Untuk informasi selengkapnya, lihat [AmazonAuroraDSQLFullAkses](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess), [AmazonAuroraDSQLReadOnlyAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLReadOnlyAccess), dan [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess). | Oktober 15, 2025 |
| AmazonAuroraDSQLFullAkses pembaruan | Menambahkan kemampuan untuk melakukan operasi pencadangan dan pemulihan untuk cluster Aurora DSQL, termasuk memulai, menghentikan, dan memantau pekerjaan. Ini juga menambahkan kemampuan untuk menggunakan kunci KMS yang dikelola pelanggan untuk enkripsi cluster. Untuk informasi selengkapnya, lihat [AmazonAuroraDSQLFullMengakses](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess) dan [Menggunakan peran terkait layanan di Aurora](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html) DSQL. | 21 Mei 2025 |
| AmazonAuroraDSQLConsoleFullAccess perbarui | Menambahkan kemampuan untuk melakukan operasi pencadangan dan pemulihan untuk cluster Aurora DSQL melalui. AWS Console Home Ini termasuk memulai, menghentikan, dan memantau pekerjaan. Ini juga mendukung penggunaan kunci KMS yang dikelola pelanggan untuk enkripsi dan peluncuran cluster. AWS CloudShell Untuk informasi selengkapnya, lihat [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess)dan [Menggunakan peran terkait layanan di Aurora](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html) DSQL. | 21 Mei 2025 |
| AmazonAuroraDSQLFullAkses pembaruan | Kebijakan ini menambahkan empat izin baru untuk membuat dan mengelola kluster database di beberapa Wilayah AWS:`PutMultiRegionProperties`,, `PutWitnessRegion``AddPeerCluster`, dan. `RemovePeerCluster` Izin ini mencakup kontrol tingkat sumber daya dan kunci kondisi sehingga Anda dapat mengontrol pengguna kluster mana yang dapat Anda modifikasi. Kebijakan ini juga menambahkan `GetVpcEndpointServiceName` izin untuk membantu Anda terhubung ke klaster Aurora DSQL Anda. AWS PrivateLink Untuk informasi selengkapnya, lihat Untuk informasi selengkapnya, lihat [AmazonAuroraDSQLFullMengakses](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess) dan [Menggunakan peran terkait layanan di Aurora](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html) DSQL. | 13 Mei 2025 |
| AmazonAuroraDSQLReadOnlyAccess perbarui | Termasuk kemampuan untuk menentukan nama layanan titik akhir VPC yang benar saat menghubungkan ke cluster Aurora DSQL Anda melalui Aurora DSQL menciptakan titik akhir unik per sel, sehingga API ini membantu memastikan Anda dapat mengidentifikasi titik akhir yang benar untuk cluster Anda dan menghindari kesalahan koneksi. AWS PrivateLink Untuk informasi selengkapnya, lihat [AmazonAuroraDSQLReadOnlyAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLReadOnlyAccess)dan [Menggunakan peran terkait layanan di Aurora](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html) DSQL. | 13 Mei 2025 |
| AmazonAuroraDSQLConsoleFullAccess perbarui | Menambahkan izin baru ke Aurora DSQL untuk mendukung manajemen klaster Multi-wilayah dan koneksi titik akhir VPC. Izin baru meliputi: PutMultiRegionProperties PutWitnessRegion AddPeerCluster RemovePeerCluster GetVpcEndpointServiceName Untuk informasi selengkapnya, lihat [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess)dan [Menggunakan peran terkait layanan di Aurora](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html) DSQL. | 13 Mei 2025 |
| AuroraDsqlServiceLinkedRolePolicy memperbarui | Menambahkan kemampuan untuk memublikasikan metrik ke AWS/Usage CloudWatch ruang nama AWS/AuroraDSQL dan ruang nama ke kebijakan. Hal ini memungkinkan layanan atau peran terkait untuk memancarkan data penggunaan dan kinerja yang lebih komprehensif ke CloudWatch lingkungan Anda. Untuk informasi selengkapnya, lihat [AuroraDsqlServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDsqlServiceLinkedRolePolicy.html)dan [Menggunakan peran terkait layanan di Aurora](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html) DSQL. | 8 Mei 2025 |
| Halaman dibuat | Mulai melacak kebijakan AWS terkelola yang terkait dengan Amazon Aurora DSQL | Desember 3, 2024 |
# Perlindungan data di Amazon Aurora DSQL
[Model tanggung jawab bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di. Seperti yang dijelaskan dalam model ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR ](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau. AWS Identity and Access Management Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan jejak untuk menangkap aktivitas, lihat [Bekerja dengan jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *Panduan Pengguna*.
+ Gunakan solusi enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
**Kami sangat menyarankan agar Anda tidak pernah memasukkan informasi rahasia atau sensitif, seperti alamat email pelanggan Anda, ke dalam tag atau bidang teks bentuk bebas seperti bidang Nama.** Ini termasuk saat Anda bekerja dengan atau lainnya menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Enkripsi data
Amazon Aurora DSQL menyediakan infrastruktur penyimpanan yang sangat tahan lama yang dirancang untuk penyimpanan data utama dan kritis misi. Data disimpan secara berlebihan di beberapa perangkat di beberapa fasilitas di Wilayah Aurora DSQL.
### Enkripsi saat bergerak
Secara default, enkripsi dalam perjalanan dikonfigurasi untuk Anda. Aurora DSQL menggunakan TLS untuk mengenkripsi semua lalu lintas antara klien SQL Anda dan Aurora DSQL.
Enkripsi dan penandatanganan data dalam transit antara AWS CLI, SDK, atau klien API dan titik akhir Aurora DSQL:
+ Aurora DSQL menyediakan titik akhir HTTPS untuk mengenkripsi data dalam perjalanan.
+ Untuk melindungi integritas permintaan API ke Aurora DSQL, panggilan API harus ditandatangani oleh pemanggil. Panggilan ditandatangani oleh sertifikat X.509 atau kunci akses AWS rahasia pelanggan sesuai dengan Proses Penandatanganan Versi Tanda Tangan 4 (Sigv4). Untuk informasi selengkapnya, lihat [Proses Penandatanganan Versi Tanda Tangan 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) di *Referensi Umum AWS*.
+ Gunakan AWS CLI atau salah satu AWS SDKs untuk membuat permintaan AWS. Alat-alat ini secara otomatis menandatangani permintaan untuk Anda dengan kunci akses yang Anda tentukan saat Anda mengonfigurasi alat.
#### Kepatuhan FIPS
Titik akhir jalur data Aurora DSQL (titik akhir cluster yang digunakan untuk koneksi database) menggunakan modul kriptografi tervalidasi FIPS 140-2 secara default. Tidak diperlukan endpoint FIPS terpisah untuk koneksi cluster.
Untuk operasi pesawat kontrol, Aurora DSQL menyediakan titik akhir FIPS khusus di wilayah yang didukung. Untuk informasi selengkapnya tentang titik akhir FIPS bidang kontrol, lihat titik akhir dan kuota [Aurora DSQL](https://docs.aws.amazon.com/general/latest/gr/dsql.html) di. *Referensi Umum AWS*
Untuk enkripsi saat istirahat, lihat[Enkripsi saat istirahat di Aurora DSQL](data-encryption.md#encryption-at-rest).
### Privasi lalu lintas antar jaringan
Koneksi dilindungi baik antara Aurora DSQL dan aplikasi lokal dan antara Aurora DSQL dan sumber daya lain dalam hal yang sama. AWS Wilayah AWS
Anda memiliki dua opsi konektivitas antara jaringan pribadi Anda dan AWS:
+ Koneksi AWS Site-to-Site VPN. Untuk informasi selengkapnya, lihat [Apa itu AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Direct Connect Koneksi. Untuk informasi lebih lanjut, lihat [Apa itu Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
Anda mendapatkan akses ke Aurora DSQL melalui jaringan dengan menggunakan AWS operasi API yang diterbitkan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
## Perlindungan Data di Daerah Saksi
Saat Anda membuat klaster Multi-wilayah, Wilayah saksi membantu mengaktifkan pemulihan kegagalan otomatis dengan berpartisipasi dalam replikasi sinkron transaksi terenkripsi. Jika klaster peered menjadi tidak tersedia, Wilayah saksi tetap tersedia untuk memvalidasi dan memproses penulisan basis data, memastikan tidak ada kehilangan ketersediaan.
Wilayah Saksi melindungi dan mengamankan data Anda melalui fitur desain ini:
+ Wilayah saksi hanya menerima dan menyimpan log transaksi terenkripsi. Itu tidak pernah menghosting, menyimpan, atau mentransmisikan kunci enkripsi Anda.
+ Wilayah saksi hanya berfokus pada penulisan transaksi logging dan fungsi kuorum. Itu tidak dapat membaca data Anda dengan desain.
+ Wilayah saksi beroperasi tanpa titik akhir koneksi cluster atau pemroses kueri. Ini mencegah akses basis data pengguna.
Untuk informasi lebih lanjut tentang Wilayah saksi, lihat[Mengkonfigurasi cluster Multi-region](configuring-multi-region-clusters.md).
# Mengkonfigurasi SSL/TLS sertifikat untuk koneksi Aurora DSQL
Aurora DSQL membutuhkan semua koneksi untuk menggunakan enkripsi Transport Layer Security (TLS). Untuk membuat koneksi aman, sistem klien Anda harus mempercayai Amazon Root Certificate Authority (Amazon Root CA 1). Sertifikat ini sudah diinstal sebelumnya pada banyak sistem operasi. Bagian ini memberikan instruksi untuk memverifikasi sertifikat Amazon Root CA 1 yang sudah diinstal sebelumnya pada berbagai sistem operasi, dan memandu Anda melalui proses menginstal sertifikat secara manual jika belum ada.
Kami merekomendasikan menggunakan PostgreSQL versi 17.
**penting**
Untuk lingkungan produksi, sebaiknya gunakan mode `verify-full` SSL untuk memastikan tingkat keamanan koneksi tertinggi. Mode ini memverifikasi bahwa sertifikat server ditandatangani oleh otoritas sertifikat tepercaya dan bahwa nama host server cocok dengan sertifikat.
## Memverifikasi sertifikat pra-instal
Di sebagian besar sistem operasi, **Amazon Root CA 1** sudah diinstal sebelumnya. Untuk memvalidasi ini, Anda dapat mengikuti langkah-langkah di bawah ini.
### Linux (RedHat/CentOS/Fedora)
Jalankan perintah berikut di terminal Anda:
```
trust list | grep "Amazon Root CA 1"
```
Jika sertifikat diinstal, Anda melihat output berikut:
```
label: Amazon Root CA 1
```
### macOS
1. Buka Pencarian Sorotan (****Perintah\$1Spasi****)
1. Cari Akses **Gantungan Kunci**
1. Pilih **Akar Sistem** di bawah **Gantungan Kunci Sistem**
1. Cari **Amazon Root CA 1** dalam daftar sertifikat
### Windows
**catatan**
Karena masalah yang diketahui dengan klien Windows psql, menggunakan sertifikat root sistem (`sslrootcert=system`) dapat mengembalikan kesalahan berikut:. `SSL error: unregistered scheme` Anda dapat mengikuti [Menghubungkan dari Windows](#connect-windows) sebagai cara alternatif untuk terhubung ke cluster Anda menggunakan SSL.
Jika **Amazon Root CA 1** tidak diinstal di sistem operasi Anda, ikuti langkah-langkah di bawah ini.
## Menginstal sertifikat
Jika `Amazon Root CA 1` sertifikat tidak diinstal sebelumnya pada sistem operasi Anda, Anda harus menginstalnya secara manual untuk membuat koneksi aman ke cluster Aurora DSQL Anda.
### Instalasi sertifikat Linux
Ikuti langkah-langkah ini untuk menginstal sertifikat Amazon Root CA pada sistem Linux.
1. Unduh Sertifikat Root:
```
wget https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
1. Salin sertifikat ke toko kepercayaan:
```
sudo cp ./AmazonRootCA1.pem /etc/pki/ca-trust/source/anchors/
```
1. Perbarui toko kepercayaan CA:
```
sudo update-ca-trust
```
1. Verifikasi instalasi:
```
trust list | grep "Amazon Root CA 1"
```
### Instalasi sertifikat macOS
Langkah-langkah pemasangan sertifikat ini bersifat opsional. Ini [Instalasi sertifikat Linux](#install-linux) juga berfungsi untuk macOS.
1. Unduh Sertifikat Root:
```
wget https://www.amazontrust.com/repository/AmazonRootCA1.pem
```
1. Tambahkan sertifikat ke gantungan kunci Sistem:
```
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain AmazonRootCA1.pem
```
1. Verifikasi instalasi:
```
security find-certificate -a -c "Amazon Root CA 1" -p /Library/Keychains/System.keychain
```
## Menghubungkan dengan SSL/TLS verifikasi
Sebelum mengonfigurasi SSL/TLS sertifikat untuk koneksi aman ke cluster Aurora DSQL Anda, pastikan Anda memiliki prasyarat berikut.
+ PostgreSQL versi 17 diinstal
+ AWS CLI dikonfigurasi dengan kredensil yang sesuai
+ Informasi titik akhir klaster Aurora DSQL
### Menghubungkan dari Linux
1. Hasilkan dan atur token otentikasi:
```
export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --hostname your-cluster-endpoint)
```
1. Connect menggunakan sertifikat sistem (jika sudah diinstal sebelumnya):
```
PGSSLROOTCERT=system \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint
```
1. Atau, sambungkan menggunakan sertifikat yang diunduh:
```
PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint
```
**catatan**
[Untuk selengkapnya tentang pengaturan PGSSLMODE, lihat [sslmode](https://www.postgresql.org/docs/current/libpq-connect.html#LIBPQ-CONNECT-SSLMODE) di dokumentasi PostgreSQL 17 Database Connection Control Functions.](https://www.postgresql.org/docs/current/libpq-connect.html)
### Menghubungkan dari macOS
1. Hasilkan dan atur token otentikasi:
```
export PGPASSWORD=$(aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --hostname your-cluster-endpoint)
```
1. Connect menggunakan sertifikat sistem (jika sudah diinstal sebelumnya):
```
PGSSLROOTCERT=system \
PGSSLMODE=verify-full \
psql --dbname postgres \
--username admin \
--host your-cluster-endpoint
```
1. Atau, unduh sertifikat root dan simpan sebagai `root.pem` (jika sertifikat tidak diinstal sebelumnya)
```
PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql —dbname postgres \
--username admin \
--host your_cluster_endpoint
```
1. Connect menggunakan psql:
```
PGSSLROOTCERT=/full/path/to/root.pem \
PGSSLMODE=verify-full \
psql —dbname postgres \
--username admin \
--host your_cluster_endpoint
```
### Menghubungkan dari Windows
#### Menggunakan Command Prompt
1. Hasilkan token otentikasi:
```
aws dsql generate-db-connect-admin-auth-token ^
--region=your-cluster-region ^
--expires-in=3600 ^
--hostname=your-cluster-endpoint
```
1. Mengatur variabel lingkungan kata sandi:
```
set "PGPASSWORD=token-from-above"
```
1. Atur konfigurasi SSL:
```
set PGSSLROOTCERT=C:\full\path\to\root.pem
set PGSSLMODE=verify-full
```
1. Connect ke database:
```
"C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres ^
--username admin ^
--host your-cluster-endpoint
```
#### Menggunakan PowerShell
1. Hasilkan dan atur token otentikasi:
```
$env:PGPASSWORD = (aws dsql generate-db-connect-admin-auth-token --region=your-cluster-region --expires-in=3600 --hostname=your-cluster-endpoint)
```
1. Atur konfigurasi SSL:
```
$env:PGSSLROOTCERT='C:\full\path\to\root.pem'
$env:PGSSLMODE='verify-full'
```
1. Connect ke database:
```
"C:\Program Files\PostgreSQL\17\bin\psql.exe" --dbname postgres `
--username admin `
--host your-cluster-endpoint
```
## Sumber daya tambahan
+ [Dokumentasi PostgreSQL SSL](https://www.postgresql.org/docs/current/libpq-ssl.html)
+ [Layanan Amazon Trust](https://www.amazontrust.com/repository/)
# Enkripsi data untuk Amazon Aurora DSQL
Amazon Aurora DSQL mengenkripsi semua data pengguna saat istirahat. Untuk keamanan yang ditingkatkan, enkripsi ini menggunakan AWS Key Management Service (AWS KMS). Fungsi ini membantu mengurangi beban operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Enkripsi saat istirahat membantu Anda:
+ Mengurangi beban operasional untuk melindungi data sensitif
+ Membangun aplikasi yang sensitif terhadap keamanan yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan
+ Tambahkan lapisan perlindungan data tambahan dengan selalu mengamankan data Anda dalam klaster terenkripsi
+ Mematuhi kebijakan organisasi, peraturan industri atau pemerintah, dan persyaratan kepatuhan
Dengan Aurora DSQL, Anda dapat membangun aplikasi yang sensitif terhadap keamanan yang memenuhi kepatuhan enkripsi dan persyaratan peraturan yang ketat. Bagian berikut menjelaskan cara mengkonfigurasi enkripsi untuk database Aurora DSQL baru dan yang sudah ada dan mengelola kunci enkripsi Anda.
**Topics**
+ [
## Jenis kunci KMS untuk Aurora DSQL
](#kms-key-types)
+ [
## Enkripsi saat istirahat di Aurora DSQL
](#encryption-at-rest)
+ [
## Menggunakan AWS KMS dan kunci data dengan Aurora DSQL
](#using-kms-and-data-keys)
+ [
## Otorisasi penggunaan Anda AWS KMS key untuk Aurora DSQL
](#authorizing-kms-key-use)
+ [
## Konteks enkripsi Aurora DSQL
](#dsql-encryption-context)
+ [
## Memantau interaksi Aurora DSQL dengan AWS KMS
](#monitoring-dsql-kms-interaction)
+ [
## Membuat cluster Aurora DSQL terenkripsi
](#creating-encrypted-cluster)
+ [
## Menghapus atau memperbarui kunci untuk cluster Aurora DSQL Anda
](#updating-encryption-key)
+ [
## Pertimbangan untuk enkripsi dengan Aurora DSQL
](#considerations-with-encryption)
## Jenis kunci KMS untuk Aurora DSQL
Aurora DSQL terintegrasi dengan AWS KMS untuk mengelola kunci enkripsi untuk cluster Anda. Untuk mempelajari lebih lanjut tentang jenis dan status kunci, lihat [AWS Key Management Service konsep](https://docs.aws.amazon.com/kms/latest/developerguide/concepts-intro.html) di *Panduan AWS Key Management Service Pengembang*. Saat membuat klaster baru, Anda dapat memilih dari jenis kunci KMS berikut untuk mengenkripsi klaster Anda:
**Kunci milik AWS**
Jenis enkripsi default. Aurora DSQL memiliki kunci tanpa biaya tambahan kepada Anda. Amazon Aurora DSQL secara transparan mendekripsi data klaster saat Anda mengakses kluster terenkripsi. Anda tidak perlu mengubah kode atau aplikasi untuk menggunakan atau mengelola cluster terenkripsi, dan semua kueri Aurora DSQL berfungsi dengan data terenkripsi Anda.
**Kunci yang dikelola pelanggan**
Anda membuat, memiliki, dan mengelola kunci di Anda Akun AWS. Anda memiliki kontrol penuh atas tombol KMS. AWS KMS dikenakan biaya.
Enkripsi saat istirahat menggunakan Kunci milik AWS tersedia tanpa biaya tambahan. Namun, AWS KMS biaya berlaku untuk kunci yang dikelola pelanggan. Untuk informasi lebih lanjut, lihat halaman [AWS KMS Harga](https://aws.amazon.com/kms/pricing/).
Anda dapat beralih di antara jenis-jenis kunci ini kapan saja. Untuk informasi selengkapnya tentang jenis kunci, lihat [Kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dan [Kunci milik AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)di *Panduan AWS Key Management Service Pengembang*.
**catatan**
Enkripsi Aurora DSQL saat istirahat tersedia di semua Wilayah di AWS mana Aurora DSQL tersedia.
## Enkripsi saat istirahat di Aurora DSQL
Amazon Aurora DSQL menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256) untuk mengenkripsi data Anda saat istirahat. Enkripsi ini membantu melindungi data Anda dari akses tidak sah ke penyimpanan yang mendasarinya. AWS KMS mengelola kunci enkripsi untuk cluster Anda. Anda dapat menggunakan default[Kunci milik AWS](#aws-owned-keys), atau memilih untuk menggunakan sendiri AWS KMS [Kunci yang dikelola pelanggan](#customer-managed-keys). Untuk mempelajari lebih lanjut tentang menentukan dan mengelola kunci untuk cluster Aurora DSQL Anda, lihat dan. [Membuat cluster Aurora DSQL terenkripsi](#creating-encrypted-cluster) [Menghapus atau memperbarui kunci untuk cluster Aurora DSQL Anda](#updating-encryption-key)
**Topics**
+ [
### Kunci milik AWS
](#aws-owned-keys)
+ [
### Kunci yang dikelola pelanggan
](#customer-managed-keys)
### Kunci milik AWS
Aurora DSQL mengenkripsi semua cluster secara default dengan. Kunci milik AWS Kunci ini gratis untuk digunakan dan diputar setiap tahun untuk melindungi sumber daya akun Anda. Anda tidak perlu melihat, mengelola, menggunakan, atau mengaudit kunci ini, sehingga tidak ada tindakan yang diperlukan untuk perlindungan data. Untuk informasi selengkapnya Kunci milik AWS, lihat [Kunci milik AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)di *Panduan AWS Key Management Service Pengembang*.
### Kunci yang dikelola pelanggan
Anda membuat, memiliki, dan mengelola kunci yang dikelola pelanggan di Anda Akun AWS. Anda memiliki kendali penuh atas kunci KMS ini, termasuk kebijakan, materi enkripsi, tag, dan aliasnya. Untuk informasi selengkapnya tentang mengelola izin, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
Saat Anda menentukan kunci terkelola pelanggan untuk enkripsi tingkat kluster, Aurora DSQL mengenkripsi cluster dan semua data regionalnya dengan kunci itu. Untuk mencegah kehilangan data dan mempertahankan akses cluster, Aurora DSQL memerlukan akses ke kunci enkripsi Anda. Jika Anda menonaktifkan kunci terkelola pelanggan, menjadwalkan kunci Anda untuk dihapus, atau memiliki kebijakan yang membatasi akses layanan Anda, status enkripsi untuk klaster Anda berubah menjadi. `KMS_KEY_INACCESSIBLE` Ketika Aurora DSQL tidak dapat mengakses kunci, pengguna tidak dapat terhubung ke cluster, status enkripsi untuk klaster berubah`KMS_KEY_INACCESSIBLE`, dan layanan kehilangan akses ke data cluster.
Untuk klaster Multi-region, pelanggan dapat mengonfigurasi kunci AWS KMS enkripsi setiap wilayah secara terpisah, dan setiap cluster regional menggunakan kunci enkripsi tingkat klaster sendiri. Jika Aurora DSQL tidak dapat mengakses kunci enkripsi untuk peer di klaster Multi-wilayah, status untuk rekan tersebut menjadi `KMS_KEY_INACCESSIBLE` dan menjadi tidak tersedia untuk operasi baca dan tulis. Rekan-rekan lainnya melanjutkan operasi normal.
**catatan**
Jika Aurora DSQL tidak dapat mengakses kunci terkelola pelanggan Anda, status enkripsi klaster Anda akan berubah menjadi. `KMS_KEY_INACCESSIBLE` Setelah Anda mengembalikan akses kunci, layanan akan secara otomatis mendeteksi pemulihan dalam waktu 15 menit. Untuk informasi selengkapnya, lihat Cluster idling.
Untuk klaster Multi-wilayah, jika akses kunci hilang untuk waktu yang lama, waktu pemulihan klaster tergantung pada berapa banyak data yang ditulis saat kunci tidak dapat diakses.
## Menggunakan AWS KMS dan kunci data dengan Aurora DSQL
Fitur enkripsi Aurora DSQL saat istirahat menggunakan AWS KMS key dan hierarki kunci data untuk melindungi data cluster Anda.
Kami menyarankan Anda merencanakan strategi enkripsi Anda sebelum menerapkan cluster Anda di Aurora DSQL. Jika Anda menyimpan data sensitif atau rahasia di Aurora DSQL, pertimbangkan untuk menyertakan enkripsi sisi klien dalam paket Anda. Dengan cara ini, Anda dapat mengenkripsi data sedekat mungkin dengan asalnya, dan memastikan perlindungannya sepanjang siklus hidupnya.
**Topics**
+ [
### Menggunakan AWS KMS key s dengan Aurora DSQL
](#aws-kms-key)
+ [
### Menggunakan tombol cluster dengan Aurora DSQL
](#cluster-keys)
+ [
### Caching kunci cluster
](#cluster-key-caching)
### Menggunakan AWS KMS key s dengan Aurora DSQL
Enkripsi saat istirahat melindungi cluster Aurora DSQL Anda di bawah file. AWS KMS key Secara default, Aurora DSQL menggunakan Kunci milik AWS, kunci enkripsi multi-tenant yang dibuat dan dikelola di akun layanan Aurora DSQL. Tetapi Anda dapat mengenkripsi cluster Aurora DSQL Anda di bawah kunci yang dikelola pelanggan di Anda. Akun AWS Anda dapat memilih kunci KMS yang berbeda untuk setiap cluster, bahkan jika itu berpartisipasi dalam pengaturan Multi-wilayah.
Anda memilih kunci KMS untuk klaster saat Anda membuat atau memperbarui cluster. Anda dapat mengubah kunci KMS untuk cluster kapan saja, baik di konsol Aurora DSQL atau dengan menggunakan operasi. `UpdateCluster` Proses peralihan kunci tidak memerlukan downtime atau menurunkan layanan.
**penting**
Aurora DSQL hanya mendukung tombol KMS simetris. Anda tidak dapat menggunakan kunci KMS asimetris untuk mengenkripsi cluster Aurora DSQL Anda.
Kunci yang dikelola pelanggan memberikan manfaat berikut.
+ Anda membuat dan mengelola kunci KMS, termasuk menyetel kebijakan utama dan kebijakan IAM untuk mengontrol akses ke kunci KMS. Anda dapat mengaktifkan dan menonaktifkan kunci KMS, mengaktifkan dan menonaktifkan rotasi kunci otomatis, dan menghapus kunci KMS ketika sudah tidak digunakan.
+ Anda dapat menggunakan kunci yang dikelola pelanggan dengan material kunci yang diimpor atau kunci yang dikelola pelanggan di penyimpanan kunci kustom yang Anda miliki dan kelola.
+ Anda dapat mengaudit enkripsi dan dekripsi cluster Aurora DSQL Anda dengan memeriksa panggilan Aurora DSQL API ke dalam log. AWS KMS AWS CloudTrail
Namun, Kunci milik AWS ini gratis dan penggunaannya tidak dihitung terhadap AWS KMS sumber daya atau kuota permintaan. Kunci yang dikelola pelanggan dikenakan biaya untuk setiap panggilan API dan AWS KMS kuota berlaku untuk kunci ini.
### Menggunakan tombol cluster dengan Aurora DSQL
**Aurora DSQL menggunakan AWS KMS key for the cluster untuk menghasilkan dan mengenkripsi kunci data unik untuk cluster, yang dikenal sebagai kunci cluster.**
Kunci cluster digunakan sebagai kunci enkripsi kunci. Aurora DSQL menggunakan kunci cluster ini untuk melindungi kunci enkripsi data yang digunakan untuk mengenkripsi data cluster. Aurora DSQL menghasilkan kunci enkripsi data unik untuk setiap struktur yang mendasarinya dalam sebuah cluster, tetapi beberapa item cluster mungkin dilindungi oleh kunci enkripsi data yang sama.
Untuk mendekripsi kunci cluster, Aurora DSQL mengirimkan permintaan AWS KMS ketika Anda pertama kali mengakses cluster terenkripsi. Agar klaster tetap tersedia, Aurora DSQL secara berkala memverifikasi akses dekripsi ke kunci KMS, bahkan ketika Anda tidak aktif mengakses cluster.
Aurora DSQL menyimpan dan menggunakan kunci cluster dan kunci enkripsi data di luar. AWS KMS Layanan ini melindungi semua kunci dengan enkripsi Advanced Encryption Standard (AES) dan kunci enkripsi 256-bit. Kemudian, ia menyimpan kunci terenkripsi dengan data terenkripsi sehingga tersedia untuk mendekripsi data cluster sesuai permintaan.
Jika Anda mengubah kunci KMS untuk cluster Anda, Aurora DSQL mengenkripsi ulang kunci cluster yang ada dengan kunci KMS baru.
### Caching kunci cluster
Untuk menghindari panggilan AWS KMS untuk setiap operasi Aurora DSQL, Aurora DSQL menyimpan kunci cluster plaintext untuk setiap pemanggil dalam memori. Jika Aurora DSQL mendapat permintaan untuk kunci cluster cache setelah 15 menit tidak aktif, ia mengirimkan permintaan baru untuk AWS KMS mendekripsi kunci cluster. Panggilan ini akan menangkap setiap perubahan yang dibuat pada kebijakan akses AWS KMS key dalam AWS KMS atau AWS Identity and Access Management (IAM) setelah permintaan terakhir untuk mendekripsi kunci klaster.
## Otorisasi penggunaan Anda AWS KMS key untuk Aurora DSQL
Jika Anda menggunakan kunci yang dikelola pelanggan di akun Anda untuk melindungi klaster Aurora DSQL Anda, kebijakan pada kunci tersebut harus memberikan izin kepada Aurora DSQL untuk menggunakannya atas nama Anda.
Anda memiliki kendali penuh atas kebijakan pada kunci yang dikelola pelanggan. Aurora DSQL tidak memerlukan otorisasi tambahan untuk menggunakan default untuk Kunci milik AWS melindungi cluster Aurora DSQL di Anda. Akun AWS
### Kebijakan kunci untuk kunci yang dikelola pelanggan
Ketika Anda memilih kunci yang dikelola pelanggan untuk melindungi cluster Aurora DSQL, Aurora DSQL memerlukan izin untuk menggunakan AWS KMS key atas nama kepala sekolah yang membuat pilihan. Prinsipal itu, pengguna atau peran, harus memiliki izin pada Aurora DSQL AWS KMS key yang dibutuhkan. Anda dapat memberikan izin ini dalam kebijakan utama, atau kebijakan IAM.
Minimal, Aurora DSQL memerlukan izin berikut pada kunci yang dikelola pelanggan:
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:ReEncrypt*`(untuk kms: ReEncryptFrom dan kms:ReEncryptTo)
+ `kms:GenerateDataKey`
+ `kms:DescribeKey`
Sebagai contoh, kebijakan kunci berikut hanya menyediakan izin yang diperlukan. Kebijakan ini memiliki efek sebagai berikut:
+ Memungkinkan Aurora DSQL untuk menggunakan AWS KMS key dalam operasi kriptografi, tetapi hanya ketika bertindak atas nama kepala sekolah di akun yang memiliki izin untuk menggunakan Aurora DSQL. Jika prinsipal yang ditentukan dalam pernyataan kebijakan tidak memiliki izin untuk menggunakan Aurora DSQL, panggilan gagal, bahkan ketika itu berasal dari layanan Aurora DSQL.
+ Kunci `kms:ViaService` kondisi mengizinkan izin hanya jika permintaan berasal dari Aurora DSQL atas nama prinsipal yang tercantum dalam pernyataan kebijakan. Pengguna utama ini tidak dapat memanggil operasi ini secara langsung.
Sebelum menggunakan kebijakan kunci contoh, ganti prinsip contoh dengan prinsip aktual dari Anda. Akun AWS
```
{
"Sid": "Enable dsql IAM User Permissions",
"Effect": "Allow",
"Principal": {
"Service": "dsql.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:Encrypt",
"kms:ReEncryptFrom",
"kms:ReEncryptTo"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:dsql:ClusterId": "w4abucpbwuxx",
"aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
}
}
},
{
"Sid": "Enable dsql IAM User Describe Permissions",
"Effect": "Allow",
"Principal": {
"Service": "dsql.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:dsql:us-east-2:111122223333:cluster/w4abucpbwuxx"
}
}
}
```
## Konteks enkripsi Aurora DSQL
Konteks enkripsi adalah seperangkat pasangan kunci-nilai yang berisi data non-rahasia yang arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.
Aurora DSQL menggunakan konteks enkripsi yang sama di semua operasi kriptografi. AWS KMS Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi klaster Aurora DSQL Anda, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan catatan dan log audit AWS KMS key dalam. Itu juga muncul dalam teks biasa di log seperti yang ada di. AWS CloudTrail
Konteks enkripsi juga dapat digunakan sebagai syarat untuk otorisasi dalam kebijakan.
Dalam permintaannya AWS KMS, Aurora DSQL menggunakan konteks enkripsi dengan pasangan kunci-nilai:
```
"encryptionContext": {
"aws:dsql:ClusterId": "w4abucpbwuxx"
},
```
Pasangan kunci-nilai mengidentifikasi cluster yang dienkripsi Aurora DSQL. Kuncinya adalah `aws:dsql:ClusterId`. Nilainya adalah pengidentifikasi cluster.
## Memantau interaksi Aurora DSQL dengan AWS KMS
Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi cluster Aurora DSQL Anda, Anda dapat menggunakan AWS CloudTrail log untuk melacak permintaan yang dikirim Aurora DSQL atas nama Anda. AWS KMS
Perluas bagian berikut untuk mempelajari bagaimana Aurora DSQL menggunakan operasi dan. AWS KMS `GenerateDataKey` `Decrypt`
### `GenerateDataKey`
Saat Anda mengaktifkan enkripsi saat istirahat di cluster, Aurora DSQL membuat kunci cluster yang unik. Ini mengirimkan `GenerateDataKey` permintaan untuk AWS KMS yang menentukan AWS KMS key untuk cluster.
Peristiwa yang mencatat operasi `GenerateDataKey` serupa dengan peristiwa contoh berikut. Pengguna adalah akun layanan Aurora DSQL. Parameter termasuk Amazon Resource Name (ARN) dari AWS KMS key, penentu kunci yang memerlukan kunci 256-bit, dan konteks enkripsi yang mengidentifikasi cluster.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSService",
"invokedBy": "dsql.amazonaws.com"
},
"eventTime": "2025-05-16T18:41:24Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "dsql.amazonaws.com",
"userAgent": "dsql.amazonaws.com",
"requestParameters": {
"encryptionContext": {
"aws:dsql:ClusterId": "w4abucpbwuxx"
},
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
},
"responseElements": null,
"requestID": "2da2dc32-d3f4-4d6c-8a41-aff27cd9a733",
"eventID": "426df0a6-ba56-3244-9337-438411f826f4",
"readOnly": true,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:982127530226:key/8b60dd9f-2ff8-4b1f-8a9c-bf570cbfdb5e"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "f88e0dd8-6057-4ce0-b77d-800448426d4e",
"vpcEndpointId": "AWS Internal",
"vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
"eventCategory": "Management"
}
```
### Dekripsi
Saat Anda mengakses cluster Aurora DSQL terenkripsi, Aurora DSQL perlu mendekripsi kunci cluster sehingga dapat mendekripsi kunci di bawahnya dalam hierarki. Kemudian mendekripsi data di cluster. Untuk mendekripsi kunci cluster, Aurora DSQL mengirimkan `Decrypt` permintaan yang menentukan untuk AWS KMS cluster. AWS KMS key
Peristiwa yang mencatat operasi `Decrypt` serupa dengan peristiwa contoh berikut. Pengguna adalah kepala sekolah Anda Akun AWS yang mengakses cluster. Parameter termasuk kunci cluster terenkripsi (sebagai gumpalan ciphertext) dan konteks enkripsi yang mengidentifikasi cluster. AWS KMS berasal dari ID dari AWS KMS key ciphertext.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AWSService",
"invokedBy": "dsql.amazonaws.com"
},
"eventTime": "2018-02-14T16:42:39Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "dsql.amazonaws.com",
"userAgent": "dsql.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"encryptionContext": {
"aws:dsql:ClusterId": "w4abucpbwuxx"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "11cab293-11a6-11e8-8386-13160d3e5db5",
"eventID": "b7d16574-e887-4b5b-a064-bf92f8ec9ad3",
"readOnly": true,
"resources": [
{
"ARN": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"accountId": "AWS Internal",
"type": "AWS::KMS::Key"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "d99f2dc5-b576-45b6-aa1d-3a3822edbeeb",
"vpcEndpointId": "AWS Internal",
"vpcEndpointAccountId": "vpce-1a2b3c4d5e6f1a2b3",
"eventCategory": "Management"
}
```
## Membuat cluster Aurora DSQL terenkripsi
Semua cluster Aurora DSQL dienkripsi saat istirahat. Secara default, cluster menggunakan tanpa Kunci milik AWS biaya, atau Anda dapat menentukan AWS KMS kunci kustom. Ikuti langkah-langkah ini untuk membuat cluster terenkripsi Anda baik dari Konsol Manajemen AWS atau. AWS CLI
------
#### [ Console ]
**Untuk membuat cluster terenkripsi di Konsol Manajemen AWS**
1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. [https://console.aws.amazon.com/dsql/](https://console.aws.amazon.com/dsql/)
1. Di panel navigasi di sisi kiri konsol, pilih **Klaster**.
1. Pilih **Create Cluster** di kanan atas dan pilih **Single-Region**.
1. Dalam **pengaturan enkripsi Cluster**, pilih salah satu opsi berikut.
+ Terima pengaturan default untuk mengenkripsi dengan tanpa Kunci milik AWS biaya tambahan.
+ Pilih **Sesuaikan pengaturan enkripsi (lanjutan)** untuk menentukan kunci KMS kustom. Kemudian, cari atau masukkan ID atau alias kunci KMS Anda. Atau, pilih **Buat AWS KMS kunci** untuk membuat kunci baru di AWS KMS Konsol.
1. Pilih **Buat klaster**.
Untuk mengonfirmasi jenis enkripsi klaster Anda, navigasikan ke halaman **Cluster** dan pilih ID klaster untuk melihat detail klaster. Tinjau tab **pengaturan Cluster** **Pengaturan kunci KMS Cluster menunjukkan kunci** **default Aurora DSQL** untuk cluster yang AWS menggunakan kunci yang dimiliki atau ID kunci untuk jenis enkripsi lainnya.
**catatan**
Jika Anda memilih untuk memiliki dan mengelola kunci Anda sendiri, pastikan Anda menetapkan kebijakan kunci KMS dengan tepat. Untuk contoh dan informasi lebih lanjut, lihat[Kebijakan kunci untuk kunci yang dikelola pelanggan](#key-policy-customer-managed-key).
------
#### [ CLI ]
**Untuk membuat cluster yang dienkripsi dengan default Kunci milik AWS**
+ Gunakan perintah berikut untuk membuat cluster Aurora DSQL.
```
aws dsql create-cluster
```
Seperti yang ditunjukkan dalam detail enkripsi berikut, status enkripsi untuk cluster diaktifkan secara default, dan jenis enkripsi default adalah kunci yang dimiliki AWS. Cluster sekarang dienkripsi dengan kunci AWS default yang dimiliki di akun layanan Aurora DSQL.
```
"encryptionDetails": {
"encryptionType" : "AWS_OWNED_KMS_KEY",
"encryptionStatus" : "ENABLED"
}
```
**Untuk membuat klaster yang dienkripsi dengan kunci terkelola pelanggan**
+ Gunakan perintah berikut untuk membuat cluster Aurora DSQL, mengganti ID kunci dalam teks merah dengan ID kunci yang dikelola pelanggan Anda.
```
aws dsql create-cluster \
--kms-encryption-key d41d8cd98f00b204e9800998ecf8427e
```
Seperti yang ditunjukkan dalam detail enkripsi berikut, status enkripsi untuk cluster diaktifkan secara default, dan jenis enkripsi adalah kunci KMS yang dikelola pelanggan. Cluster sekarang dienkripsi dengan kunci Anda.
```
"encryptionDetails": {
"encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
"kmsKeyArn" : "arn:aws:kms:us-east-1:111122223333:key/d41d8cd98f00b204e9800998ecf8427e",
"encryptionStatus" : "ENABLED"
}
```
------
## Menghapus atau memperbarui kunci untuk cluster Aurora DSQL Anda
Anda dapat menggunakan atau AWS CLI untuk memperbarui Konsol Manajemen AWS atau menghapus kunci enkripsi pada cluster yang ada di Amazon Aurora DSQL. Jika Anda menghapus kunci tanpa menggantinya, Aurora DSQL menggunakan default. Kunci milik AWS Ikuti langkah-langkah ini untuk memperbarui kunci enkripsi cluster yang ada dari konsol Aurora DSQL atau. AWS CLI
------
#### [ Console ]
**Untuk memperbarui atau menghapus kunci enkripsi di Konsol Manajemen AWS**
1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. [https://console.aws.amazon.com/dsql/](https://console.aws.amazon.com/dsql/)
1. Di panel navigasi di sisi kiri konsol, pilih **Klaster**.
1. Dari tampilan daftar, temukan dan pilih baris cluster yang ingin Anda perbarui.
1. Pilih menu **Tindakan** dan kemudian pilih **Ubah**.
1. Dalam **pengaturan enkripsi Cluster**, pilih salah satu opsi berikut untuk mengubah pengaturan enkripsi Anda.
+ Jika Anda ingin beralih dari kunci kustom ke kunci Kunci milik AWS, hapus pilihan **Sesuaikan pengaturan enkripsi (lanjutan)**. Pengaturan default akan menerapkan dan mengenkripsi cluster Anda dengan tanpa Kunci milik AWS biaya.
+ Jika Anda ingin beralih dari satu kunci KMS kustom ke yang lain atau dari tombol Kunci milik AWS ke KMS, pilih opsi **Sesuaikan pengaturan enkripsi (lanjutan)** jika belum dipilih. Kemudian, cari dan pilih ID atau alias kunci yang ingin Anda gunakan. Atau, pilih **Buat AWS KMS kunci** untuk membuat kunci baru di AWS KMS Konsol.
1. Pilih **Simpan**.
------
#### [ CLI ]
Contoh berikut menunjukkan cara menggunakan AWS CLI untuk memperbarui cluster terenkripsi.
Untuk memperbarui cluster terenkripsi dengan default Kunci milik AWS
```
aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key "AWS_OWNED_KMS_KEY"
```
Deskripsi cluster diatur ke `ENABLED` dan `EncryptionType` adalah`AWS_OWNED_KMS_KEY`. `EncryptionStatus`
```
"encryptionDetails": {
"encryptionType" : "AWS_OWNED_KMS_KEY",
"encryptionStatus" : "ENABLED"
}
```
Cluster ini sekarang dienkripsi menggunakan default Kunci milik AWS di akun layanan Aurora DSQL.
Untuk memperbarui cluster terenkripsi dengan kunci terkelola pelanggan untuk Aurora DSQL
Perbarui cluster terenkripsi, seperti pada contoh berikut:
```
aws dsql update-cluster \
--identifier aiabtx6icfp6d53snkhseduiqq \
--kms-encryption-key arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234
```
Transisi deskripsi cluster ke `UPDATING` dan `EncryptionType` is`CUSTOMER_MANAGED_KMS_KEY`. `EncryptionStatus` Setelah Aurora DSQL selesai menyebarkan kunci baru melalui platform, status enkripsi akan dialihkan ke `ENABLED`
```
"encryptionDetails": {
"encryptionType" : "CUSTOMER_MANAGED_KMS_KEY",
"kmsKeyArn" : "arn:aws:us-east-1:kms:key/abcd1234-abcd-1234-a123-ab1234a1b234",
"encryptionStatus" : "ENABLED"
}
```
------
**catatan**
Jika Anda memilih untuk memiliki dan mengelola kunci Anda sendiri, pastikan Anda menetapkan kebijakan kunci KMS dengan tepat. Untuk contoh dan informasi lebih lanjut, lihat[Kebijakan kunci untuk kunci yang dikelola pelanggan](#key-policy-customer-managed-key).
## Pertimbangan untuk enkripsi dengan Aurora DSQL
+ Aurora DSQL mengenkripsi semua data cluster saat istirahat. Anda tidak dapat menonaktifkan enkripsi ini atau mengenkripsi hanya beberapa item dalam sebuah cluster.
+ AWS Backup mengenkripsi cadangan Anda dan cluster apa pun yang dipulihkan dari cadangan ini. Anda dapat mengenkripsi data cadangan Anda dengan AWS Backup menggunakan kunci yang AWS dimiliki atau kunci yang dikelola pelanggan.
+ Status perlindungan data berikut diaktifkan untuk Aurora DSQL:
+ **Data saat istirahat** - Aurora DSQL mengenkripsi semua data statis pada media penyimpanan persisten
+ **Data dalam perjalanan - Aurora DSQL mengenkripsi semua komunikasi menggunakan Transport** Layer Security (TLS) secara default
+ Saat Anda beralih ke kunci yang berbeda, kami sarankan agar Anda tetap mengaktifkan kunci asli hingga transisi selesai. AWS membutuhkan kunci asli untuk mendekripsi data sebelum mengenkripsi data Anda dengan kunci baru. Prosesnya selesai ketika cluster `encryptionStatus` berada `ENABLED` dan Anda melihat kunci `kmsKeyArn` yang dikelola pelanggan baru.
+ Saat Anda menonaktifkan Kunci Terkelola Pelanggan atau mencabut akses Aurora DSQL untuk menggunakan kunci Anda, klaster Anda akan masuk ke status. `IDLE`
+ API DSQL Amazon Aurora Konsol Manajemen AWS dan Amazon menggunakan istilah yang berbeda untuk jenis enkripsi:
+ AWS Konsol — Di konsol, Anda akan melihat `KMS` saat menggunakan kunci yang dikelola Pelanggan dan `DEFAULT` saat menggunakan kunci Kunci milik AWS.
+ API — Amazon Aurora DSQL API digunakan `CUSTOMER_MANAGED_KMS_KEY` untuk kunci yang dikelola pelanggan, dan untuk. `AWS_OWNED_KMS_KEY` Kunci milik AWS
+ Jika Anda tidak menentukan kunci enkripsi selama pembuatan klaster, Aurora DSQL secara otomatis mengenkripsi data Anda menggunakan file. Kunci milik AWS
+ Anda dapat beralih antara kunci yang dikelola Pelanggan Kunci milik AWS dan kapan saja. Buat perubahan ini menggunakan Konsol Manajemen AWS, AWS CLI, atau Amazon Aurora DSQL API.
# Manajemen identitas dan akses untuk Aurora DSQL
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Aurora DSQL. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [
## Audiens
](#security_iam_audience)
+ [
## Mengautentikasi dengan identitas
](#security_iam_authentication)
+ [
## Mengelola akses menggunakan kebijakan
](#security_iam_access-manage)
+ [
# Bagaimana Amazon Aurora DSQL bekerja dengan IAM
](security_iam_service-with-iam.md)
+ [
# Contoh kebijakan berbasis identitas untuk Amazon Aurora DSQL
](security_iam_id-based-policy-examples.md)
+ [
# Memecahkan masalah identitas dan akses Amazon Aurora DSQL
](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses Amazon Aurora DSQL](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Amazon Aurora DSQL bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk Amazon Aurora DSQL](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana Amazon Aurora DSQL bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Aurora DSQL, pelajari fitur IAM apa yang tersedia untuk digunakan dengan Aurora DSQL.
**Fitur IAM yang dapat Anda gunakan dengan Amazon Aurora DSQL**
| Fitur IAM | Dukungan Aurora DSQL |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies) | Ya |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| [ACLs](#security_iam_service-with-iam-acls) | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Ya |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Izin principal](#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Ya |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Ya |
*Untuk mendapatkan tampilan tingkat tinggi tentang bagaimana Aurora DSQL dan layanan AWS lainnya bekerja dengan sebagian besar fitur IAM, [AWS lihat layanan yang bekerja dengan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM di Panduan Pengguna IAM.*
## Kebijakan berbasis identitas untuk Aurora DSQL
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Aurora DSQL
Untuk melihat contoh kebijakan berbasis identitas Aurora DSQL, lihat. [Contoh kebijakan berbasis identitas untuk Amazon Aurora DSQL](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya dalam Aurora DSQL
**Mendukung kebijakan berbasis sumber daya**: Ya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah kebijakan kepercayaan peran IAM dan kebijakan bucket Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan prinsipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau layanan AWS. Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan yang dikelola AWS dari IAM dalam kebijakan berbasis sumber daya.
[Untuk mempelajari cara membuat dan mengelola kebijakan berbasis sumber daya untuk klaster Aurora DSQL, lihat Kebijakan berbasis sumber daya untuk Aurora DSQL.](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/resource-based-policies.html)
## Tindakan kebijakan untuk Aurora DSQL
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
*Untuk melihat daftar tindakan Aurora DSQL, lihat [Tindakan yang Ditentukan oleh Amazon Aurora DSQL di Referensi Otorisasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html#your_service-actions-as-permissions) Layanan.*
Tindakan kebijakan di Aurora DSQL menggunakan awalan berikut sebelum tindakan:
```
dsql
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"dsql:action1",
"dsql:action2"
]
```
Untuk melihat contoh kebijakan berbasis identitas Aurora DSQL, lihat. [Contoh kebijakan berbasis identitas untuk Amazon Aurora DSQL](security_iam_id-based-policy-examples.md)
## Sumber daya kebijakan untuk Aurora DSQL
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
*Untuk melihat daftar jenis sumber daya Aurora DSQL dan jenisnya ARNs, lihat Sumber Daya yang Ditentukan oleh [Amazon Aurora DSQL di Referensi](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html#your_service-resources-for-iam-policies) Otorisasi Layanan.* Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang Ditentukan oleh Amazon Aurora DSQL](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html#your_service-actions-as-permissions).
Untuk melihat contoh kebijakan berbasis identitas Aurora DSQL, lihat. [Contoh kebijakan berbasis identitas untuk Amazon Aurora DSQL](security_iam_id-based-policy-examples.md)
## Kunci kondisi kebijakan untuk Aurora DSQL
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
*Untuk melihat daftar kunci kondisi Aurora DSQL, lihat Kunci kondisi untuk [Amazon Aurora DSQL di Referensi Otorisasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonauroradsql.html#amazonauroradsql-policy-keys) Layanan.* Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon Aurora](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonauroradsql.html#amazonauroradsql-actions-as-permissions) DSQL.
Untuk melihat contoh kebijakan berbasis identitas Aurora DSQL, lihat. [Contoh kebijakan berbasis identitas untuk Amazon Aurora DSQL](security_iam_id-based-policy-examples.md)
## ACLs di Aurora DSQL
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## ABAC dengan Aurora DSQL
**Mendukung ABAC (tanda dalam kebijakan):** Ya
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensil sementara dengan Aurora DSQL
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensyal sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Izin utama lintas layanan untuk Aurora DSQL
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk Aurora DSQL
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak fungsionalitas Aurora DSQL. Edit peran layanan hanya ketika Aurora DSQL memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk Aurora DSQL
**Mendukung peran terkait layanan**: Ya
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang membuat atau mengelola peran terkait layanan untuk Aurora DSQL, lihat. [Menggunakan peran terkait layanan di Aurora DSQL](working-with-service-linked-roles.md)
# Contoh kebijakan berbasis identitas untuk Amazon Aurora DSQL
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Aurora DSQL. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
*Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Aurora DSQL, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk Amazon Aurora DSQL](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_your_service.html) di Referensi Otorisasi Layanan.*
**Topics**
+ [
## Praktik terbaik kebijakan
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Menggunakan konsol Aurora DSQL
](#security_iam_id-based-policy-examples-console)
+ [
## Mengizinkan pengguna melihat izin mereka sendiri
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Izinkan manajemen cluster dan koneksi database
](#security_iam_id-based-policy-examples-cluster-management)
+ [
## Akses sumber daya Aurora DSQL berdasarkan tag
](#security_iam_id-based-policy-examples-tag-based-access)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Aurora DSQL di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol Aurora DSQL
Untuk mengakses konsol Amazon Aurora DSQL, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk daftar dan melihat rincian tentang sumber daya Aurora DSQL di Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan konsol Aurora DSQL, lampirkan juga Aurora `AmazonAuroraDSQLConsoleFullAccess` DSQL atau kebijakan terkelola ke entitas. `AmazonAuroraDSQLReadOnlyAccess` AWS Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Izinkan manajemen cluster dan koneksi database
Kebijakan berikut memberikan izin pengguna IAM untuk mengelola dan menyambung ke cluster Aurora DSQL tertentu. Kebijakan ini mencakup pengelolaan klaster dan tindakan koneksi ke satu klaster Amazon Resource Name (ARN), sekaligus `dsql:ListClusters` mengizinkan semua resource karena tindakan ini tidak mendukung izin tingkat sumber daya.
Contoh ini digunakan `dsql:DbConnectAdmin` untuk terhubung dengan `admin` peran. Untuk terhubung dengan peran database kustom sebagai gantinya, ganti `dsql:DbConnectAdmin` dengan`dsql:DbConnect`. Untuk informasi selengkapnya, lihat [Otentikasi dan otorisasi untuk Aurora DSQL](authentication-authorization.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowClusterManagement",
"Effect": "Allow",
"Action": [
"dsql:GetCluster",
"dsql:UpdateCluster",
"dsql:DeleteCluster",
"dsql:DbConnectAdmin",
"dsql:TagResource",
"dsql:ListTagsForResource",
"dsql:UntagResource"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/my-cluster-id"
},
{
"Sid": "AllowListClusters",
"Effect": "Allow",
"Action": "dsql:ListClusters",
"Resource": "*"
}
]
}
```
------
## Akses sumber daya Aurora DSQL berdasarkan tag
Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya Aurora DSQL berdasarkan tag. Contoh berikut menunjukkan cara membuat kebijakan yang memungkinkan melihat klaster. Namun, kebijakan hanya memberikan izin jika tag klaster `Owner` memiliki nilai nama pengguna tersebut. Kebijakan ini juga memberi izin yang diperlukan untuk menyelesaikan tindakan ini pada konso tersebutl.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListClustersInConsole",
"Effect": "Allow",
"Action": "dsql:ListClusters",
"Resource": "*"
},
{
"Sid": "ViewClusterIfOwner",
"Effect": "Allow",
"Action": "dsql:GetCluster",
"Resource": "arn:aws:dsql:*:*:cluster/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Anda dapat melampirkan kebijakan ini ke pengguna IAM di akun Anda. Jika pengguna bernama `richard-roe` mencoba untuk melihat cluster Aurora DSQL, cluster harus diberi tag atau. `Owner=richard-roe` `owner=richard-roe` Jika tidak, IAM menolak akses. Kunci tanda syarat `Owner` sama dengan kedua `Owner` dan `owner` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
Kebijakan berikut memungkinkan pengguna untuk membuat cluster hanya jika mereka menandai klaster dengan nama pengguna mereka sendiri sebagai. `Owner` Ini juga memungkinkan penandaan hanya pada cluster yang sudah dimiliki pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedCluster",
"Effect": "Allow",
"Action": "dsql:CreateCluster",
"Resource": "arn:aws:dsql:*:123456789012:cluster/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
},
{
"Sid": "AllowTagOwnedClusters",
"Effect": "Allow",
"Action": "dsql:TagResource",
"Resource": "arn:aws:dsql:*:123456789012:cluster/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
# Memecahkan masalah identitas dan akses Amazon Aurora DSQL
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Aurora DSQL dan IAM.
**Topics**
+ [
## Saya tidak berwenang untuk melakukan tindakan di Aurora DSQL
](#security_iam_troubleshoot-no-permissions)
+ [
## Saya tidak berwenang untuk melakukan iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Aurora DSQL saya
](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di Aurora DSQL
Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.
Contoh kesalahan berikut terjadi ketika `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang `my-dsql-cluster` sumber daya tetapi tidak memiliki `GetCluster` izin.
```
User: iam:::user/mateojackson is not authorized to perform: GetCluster on resource: my-dsql-cluster
```
Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-dsql-cluster` dengan menggunakan tindakan `GetCluster`.
Jika Anda membutuhkan bantuan, hubungi administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Aurora DSQL.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Aurora DSQL. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Aurora DSQL saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mempelajari apakah Aurora DSQL mendukung fitur-fitur ini, lihat. [Bagaimana Amazon Aurora DSQL bekerja dengan IAM](security_iam_service-with-iam.md)
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Kebijakan berbasis sumber daya untuk Aurora DSQL
Gunakan kebijakan berbasis sumber daya untuk Aurora DSQL untuk membatasi atau memberikan akses ke klaster Anda melalui dokumen kebijakan JSON yang dilampirkan langsung ke sumber daya klaster Anda. Kebijakan ini memberikan kontrol halus atas siapa yang dapat mengakses klaster Anda dan dalam kondisi apa.
Cluster Aurora DSQL dapat diakses dari internet publik secara default, dengan otentikasi IAM sebagai kontrol keamanan utama. Kebijakan berbasis sumber daya memungkinkan Anda menambahkan batasan akses, terutama untuk memblokir akses dari internet publik.
Kebijakan berbasis sumber daya bekerja bersama kebijakan berbasis identitas IAM. AWS mengevaluasi kedua jenis kebijakan untuk menentukan izin akhir untuk setiap permintaan akses ke klaster Anda. Secara default, cluster Aurora DSQL dapat diakses dalam akun. Jika pengguna atau peran IAM memiliki izin Aurora DSQL, mereka dapat mengakses kluster tanpa kebijakan berbasis sumber daya yang dilampirkan.
**catatan**
Perubahan kebijakan berbasis sumber daya pada akhirnya konsisten dan biasanya berlaku dalam satu menit.
*Untuk informasi selengkapnya tentang perbedaan antara kebijakan berbasis identitas dan berbasis sumber daya, lihat Kebijakan berbasis [identitas dan kebijakan berbasis sumber daya di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) IAM.*
## Kapan menggunakan kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya sangat berguna dalam skenario ini:
+ *Kontrol akses berbasis jaringan* — Batasi akses berdasarkan VPC atau alamat IP tempat permintaan berasal, atau blokir akses internet publik sepenuhnya. Gunakan tombol kondisi seperti `aws:SourceVpc` dan `aws:SourceIp` untuk mengontrol akses jaringan.
+ *Beberapa tim atau aplikasi* — Berikan akses ke klaster yang sama untuk beberapa tim atau aplikasi. Daripada mengelola kebijakan IAM individual untuk setiap prinsipal, Anda menentukan aturan akses sekali di klaster.
+ *Akses bersyarat kompleks* — Kontrol akses berdasarkan beberapa faktor seperti atribut jaringan, konteks permintaan, dan atribut pengguna. Anda dapat menggabungkan beberapa kondisi dalam satu kebijakan.
+ *Tata kelola keamanan terpusat* — Aktifkan pemilik klaster untuk mengontrol akses menggunakan sintaks AWS kebijakan yang sudah dikenal yang terintegrasi dengan praktik keamanan yang ada.
**catatan**
Akses lintas akun belum didukung untuk kebijakan berbasis sumber daya Aurora DSQL tetapi akan tersedia di rilis mendatang.
Ketika seseorang mencoba terhubung ke klaster Aurora DSQL Anda, AWS evaluasi kebijakan berbasis sumber daya Anda sebagai bagian dari konteks otorisasi, bersama dengan kebijakan IAM yang relevan, untuk menentukan apakah permintaan tersebut harus diizinkan atau ditolak.
Kebijakan berbasis sumber daya dapat memberikan akses ke prinsipal dalam akun yang sama dengan klaster. AWS Untuk klaster Multi-region, setiap kluster regional memiliki kebijakan berbasis sumber dayanya sendiri, yang memungkinkan kontrol akses khusus Wilayah bila diperlukan.
**catatan**
Kunci konteks kondisi dapat bervariasi antar Wilayah (seperti VPC IDs).
**Topics**
+ [Kapan Menggunakan](#rbp-when-to-use)
+ [Buat dengan kebijakan](rbp-create-cluster.md)
+ [Menambahkan dan mengedit kebijakan](rbp-attach-policy.md)
+ [Lihat Kebijakan](rbp-view-policy.md)
+ [Hapus Kebijakan](rbp-remove-policy.md)
+ [Contoh kebijakan](rbp-examples.md)
+ [Blokir akses publik](rbp-block-public-access.md)
+ [Operasi API](rbp-api-operations.md)
# Membuat cluster dengan kebijakan berbasis sumber daya
Anda dapat melampirkan kebijakan berbasis sumber daya saat membuat klaster baru untuk memastikan kontrol akses sudah ada sejak awal. Setiap cluster dapat memiliki kebijakan inline tunggal yang dilampirkan langsung ke cluster.
## AWS Konsol Manajemen
**Untuk menambahkan kebijakan berbasis sumber daya selama pembuatan klaster**
1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. [https://console.aws.amazon.com/dsql/](https://console.aws.amazon.com/dsql)
1. Pilih **Buat klaster**.
1. Konfigurasikan nama klaster, tag, dan pengaturan multi-wilayah sesuai kebutuhan.
1. Di bagian **Pengaturan cluster**, cari opsi kebijakan **berbasis sumber daya**.
1. Aktifkan **Tambahkan kebijakan berbasis sumber daya**.
1. Masukkan dokumen kebijakan Anda di editor JSON. Misalnya, untuk memblokir akses internet publik:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Condition": {
"Null": {
"aws:SourceVpc": "true"
}
}
}
]
}
```
1. Anda dapat menggunakan **pernyataan Edit** atau **Tambahkan pernyataan baru** untuk membuat kebijakan Anda.
1. Selesaikan konfigurasi cluster yang tersisa dan pilih **Create cluster**.
## AWS CLI
Gunakan `--policy` parameter saat membuat klaster untuk melampirkan kebijakan inline:
```
aws dsql create-cluster --policy '{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Principal": {"AWS": "*"},
"Resource": "*",
"Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
"Condition": {
"StringNotEquals": { "aws:SourceVpc": "vpc-123456" }
}
}]
}'
```
## AWS SDKs
------
#### [ Python ]
```
import boto3
import json
client = boto3.client('dsql')
policy = {
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Principal": {"AWS": "*"},
"Resource": "*",
"Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
"Condition": {
"StringNotEquals": { "aws:SourceVpc": "vpc-123456" }
}
}]
}
response = client.create_cluster(
policy=json.dumps(policy)
)
print(f"Cluster created: {response['identifier']}")
```
------
#### [ Java ]
```
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.CreateClusterRequest;
import software.amazon.awssdk.services.dsql.model.CreateClusterResponse;
DsqlClient client = DsqlClient.create();
String policy = """
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Principal": {"AWS": "*"},
"Resource": "*",
"Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
"Condition": {
"StringNotEquals": { "aws:SourceVpc": "vpc-123456" }
}
}]
}
""";
CreateClusterRequest request = CreateClusterRequest.builder()
.policy(policy)
.build();
CreateClusterResponse response = client.createCluster(request);
System.out.println("Cluster created: " + response.identifier());
```
------
# Menambahkan dan mengedit kebijakan berbasis sumber daya untuk klaster
## AWS Konsol Manajemen
**Untuk menambahkan kebijakan berbasis sumber daya ke klaster yang ada**
1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. [https://console.aws.amazon.com/dsql/](https://console.aws.amazon.com/dsql)
1. Pilih klaster Anda dari daftar klaster untuk membuka halaman detail klaster.
1. Pilih tab **Izin**.
1. **Di bagian **Kebijakan berbasis sumber daya, pilih Tambah kebijakan**.**
1. Masukkan dokumen kebijakan Anda di editor JSON. Anda dapat menggunakan **pernyataan Edit** atau **Tambahkan pernyataan baru** untuk membuat kebijakan Anda.
1. Pilih **Tambahkan kebijakan**.
**Untuk mengedit kebijakan berbasis sumber daya yang ada**
1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. [https://console.aws.amazon.com/dsql/](https://console.aws.amazon.com/dsql)
1. Pilih klaster Anda dari daftar klaster untuk membuka halaman detail klaster.
1. Pilih tab **Izin**.
1. **Di bagian **Kebijakan berbasis sumber daya**, pilih Edit.**
1. Ubah dokumen kebijakan di editor JSON. Anda dapat menggunakan **pernyataan Edit** atau **Tambahkan pernyataan baru** untuk memperbarui kebijakan Anda.
1. Pilih **Simpan perubahan**.
## AWS CLI
Gunakan `put-cluster-policy` perintah untuk melampirkan kebijakan baru atau memperbarui kebijakan yang ada di klaster:
```
aws dsql put-cluster-policy --identifier your_cluster_id --policy '{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Principal": {"AWS": "*"},
"Resource": "*",
"Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
"Condition": {
"Null": { "aws:SourceVpc": "true" }
}
}]
}'
```
## AWS SDKs
------
#### [ Python ]
```
import boto3
import json
client = boto3.client('dsql')
policy = {
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Principal": {"AWS": "*"},
"Resource": "*",
"Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
"Condition": {
"Null": {"aws:SourceVpc": "true"}
}
}]
}
response = client.put_cluster_policy(
identifier='your_cluster_id',
policy=json.dumps(policy)
)
```
------
#### [ Java ]
```
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.PutClusterPolicyRequest;
DsqlClient client = DsqlClient.create();
String policy = """
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Principal": {"AWS": "*"},
"Resource": "*",
"Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
"Condition": {
"Null": {"aws:SourceVpc": "true"}
}
}]
}
""";
PutClusterPolicyRequest request = PutClusterPolicyRequest.builder()
.identifier("your_cluster_id")
.policy(policy)
.build();
client.putClusterPolicy(request);
```
------
# Melihat kebijakan berbasis sumber daya
Anda dapat melihat kebijakan berbasis sumber daya yang dilampirkan ke kluster Anda untuk memahami kontrol akses saat ini.
## AWS Konsol Manajemen
**Untuk melihat kebijakan berbasis sumber daya**
1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. [https://console.aws.amazon.com/dsql/](https://console.aws.amazon.com/dsql)
1. Pilih klaster Anda dari daftar klaster untuk membuka halaman detail klaster.
1. Pilih tab **Izin**.
1. Lihat kebijakan terlampir di bagian Kebijakan **berbasis sumber daya**.
## AWS CLI
Gunakan `get-cluster-policy` perintah untuk melihat kebijakan berbasis sumber daya kluster:
```
aws dsql get-cluster-policy --identifier your_cluster_id
```
## AWS SDKs
------
#### [ Python ]
```
import boto3
import json
client = boto3.client('dsql')
response = client.get_cluster_policy(
identifier='your_cluster_id'
)
# Parse and pretty-print the policy
policy = json.loads(response['policy'])
print(json.dumps(policy, indent=2))
```
------
#### [ Java ]
```
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.GetClusterPolicyRequest;
import software.amazon.awssdk.services.dsql.model.GetClusterPolicyResponse;
DsqlClient client = DsqlClient.create();
GetClusterPolicyRequest request = GetClusterPolicyRequest.builder()
.identifier("your_cluster_id")
.build();
GetClusterPolicyResponse response = client.getClusterPolicy(request);
System.out.println("Policy: " + response.policy());
```
------
# Menghapus kebijakan berbasis sumber daya
Anda dapat menghapus kebijakan berbasis sumber daya dari kluster untuk mengubah kontrol akses.
**penting**
Saat Anda menghapus semua kebijakan berbasis sumber daya dari klaster, akses akan dikontrol sepenuhnya oleh kebijakan berbasis identitas IAM.
## AWS Konsol Manajemen
**Untuk menghapus kebijakan berbasis sumber daya**
1. Masuk ke Konsol AWS Manajemen dan buka konsol Aurora DSQL di. [https://console.aws.amazon.com/dsql/](https://console.aws.amazon.com/dsql)
1. Pilih klaster Anda dari daftar klaster untuk membuka halaman detail klaster.
1. Pilih tab **Izin**.
1. **Di bagian **Kebijakan berbasis sumber daya**, pilih Hapus.**
1. Dalam dialog konfirmasi, ketik **confirm** untuk mengonfirmasi penghapusan.
1. Pilih **Hapus**.
## AWS CLI
Gunakan `delete-cluster-policy` perintah untuk menghapus kebijakan dari klaster:
```
aws dsql delete-cluster-policy --identifier your_cluster_id
```
## AWS SDKs
------
#### [ Python ]
```
import boto3
client = boto3.client('dsql')
response = client.delete_cluster_policy(
identifier='your_cluster_id'
)
print("Policy deleted successfully")
```
------
#### [ Java ]
```
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.DeleteClusterPolicyRequest;
DsqlClient client = DsqlClient.create();
DeleteClusterPolicyRequest request = DeleteClusterPolicyRequest.builder()
.identifier("your_cluster_id")
.build();
client.deleteClusterPolicy(request);
System.out.println("Policy deleted successfully");
```
------
# Contoh kebijakan berbasis sumber daya umum
Contoh-contoh ini menunjukkan pola umum untuk mengontrol akses ke cluster Aurora DSQL Anda. Anda dapat menggabungkan dan memodifikasi pola-pola ini untuk memenuhi persyaratan akses spesifik Anda.
## Blokir akses internet publik
Kebijakan ini memblokir koneksi ke klaster Aurora DSQL Anda dari internet publik (non-VPC). Kebijakan ini tidak menentukan dari mana pelanggan VPC dapat terhubung—hanya saja mereka harus terhubung dari VPC. Untuk membatasi akses ke VPC tertentu, gunakan `aws:SourceVpc` dengan operator `StringEquals` kondisi.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Condition": {
"Null": {
"aws:SourceVpc": "true"
}
}
}
]
}
```
**catatan**
Contoh ini hanya digunakan `aws:SourceVpc` untuk memeriksa koneksi VPC. Kunci `aws:VpcSourceIp` dan `aws:SourceVpce` kondisi memberikan perincian tambahan tetapi tidak diperlukan untuk kontrol akses khusus VPC dasar.
Untuk memberikan pengecualian untuk peran tertentu, gunakan kebijakan ini sebagai gantinya:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAccessFromOutsideVPC",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Condition": {
"Null": {
"aws:SourceVpc": "true"
},
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::123456789012:role/ExceptionRole",
"arn:aws:iam::123456789012:role/AnotherExceptionRole"
]
}
}
}
]
}
```
## Membatasi akses ke Organisasi AWS
Kebijakan ini membatasi akses ke prinsipal dalam Organisasi: AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a",
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgID": "o-exampleorgid"
}
}
}
]
}
```
## Membatasi akses ke Unit Organisasi tertentu
Kebijakan ini membatasi akses ke kepala sekolah dalam Unit Organisasi (OU) tertentu dalam suatu Organisasi, memberikan kontrol yang lebih terperinci daripada akses di seluruh AWS organisasi:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"dsql:DbConnect"
],
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a",
"Condition": {
"StringNotLike": {
"aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*"
}
}
}
]
}
```
## Kebijakan klaster Multi-Wilayah
Untuk klaster Multi-region, setiap kluster regional mempertahankan kebijakan sumber dayanya sendiri, memungkinkan kontrol khusus Wilayah. Berikut adalah contoh dengan kebijakan berbeda per wilayah:
*kebijakan us-east-1:*
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-east1-id"
},
"Null": {
"aws:SourceVpc": "true"
}
}
}
]
}
```
*kebijakan us-east-2:*
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect"
],
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-east2-id"
}
}
}
]
}
```
**catatan**
Kunci konteks kondisi dapat bervariasi antara Wilayah AWS (seperti VPC IDs).
# Memblokir akses publik dengan kebijakan berbasis sumber daya di Aurora DSQL
Block Public Access (BPA) adalah fitur yang mengidentifikasi dan mencegah melampirkan kebijakan berbasis sumber daya yang memberikan akses publik ke cluster Aurora DSQL Anda di seluruh akun Anda. AWS Dengan BPA, Anda dapat mencegah akses publik ke sumber daya Aurora DSQL Anda. BPA melakukan pemeriksaan selama pembuatan atau modifikasi kebijakan berbasis sumber daya dan membantu meningkatkan postur keamanan Anda dengan Aurora DSQL.
BPA menggunakan [penalaran otomatis](https://aws.amazon.com/what-is/automated-reasoning/) untuk menganalisis akses yang diberikan oleh kebijakan berbasis sumber daya Anda dan memberi tahu Anda jika izin tersebut ditemukan pada saat mengelola kebijakan berbasis sumber daya. Analisis memverifikasi akses di semua pernyataan kebijakan berbasis sumber daya, tindakan, dan kumpulan kunci kondisi yang digunakan dalam kebijakan Anda.
**penting**
BPA membantu melindungi sumber daya Anda dengan mencegah akses publik diberikan melalui kebijakan berbasis sumber daya yang secara langsung melekat pada sumber daya Aurora DSQL Anda, seperti cluster. Selain menggunakan BPA, hati-hati memeriksa kebijakan berikut untuk mengonfirmasi bahwa mereka tidak memberikan akses publik:
Kebijakan berbasis identitas yang dilampirkan pada AWS prinsipal terkait (misalnya, peran IAM)
Kebijakan berbasis sumber daya yang dilampirkan pada AWS sumber daya terkait (misalnya, AWS kunci Layanan Manajemen Kunci (KMS))
Anda harus memastikan bahwa [prinsipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) tidak menyertakan `*` entri atau bahwa salah satu kunci kondisi yang ditentukan membatasi akses dari prinsipal ke sumber daya. Jika kebijakan berbasis sumber daya memberikan akses publik ke klaster Anda di seluruh akun AWS , Aurora DSQL akan memblokir Anda dari membuat atau memodifikasi kebijakan hingga spesifikasi dalam kebijakan diperbaiki dan dianggap non-publik.
Anda dapat membuat kebijakan non-publik dengan menentukan satu atau lebih prinsipal di dalam blok. `Principal` Contoh kebijakan berbasis sumber daya berikut memblokir akses publik dengan menentukan dua prinsip.
```
{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012",
"111122223333"
]
},
"Action": "dsql:*",
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/cluster-id"
}
```
Kebijakan yang membatasi akses dengan menentukan kunci kondisi tertentu juga tidak dianggap publik. Seiring dengan evaluasi prinsipal yang ditentukan dalam kebijakan berbasis sumber daya, [kunci kondisi tepercaya](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) berikut digunakan untuk menyelesaikan evaluasi kebijakan berbasis sumber daya untuk akses non-publik:
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:SourceAccount`
+ `aws:SourceArn`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserId`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:PrincipalIsAWSService`
+ `aws:Ec2InstanceSourceVpc`
+ `aws:SourceOrgID`
+ `aws:SourceOrgPaths`
Selain itu, agar kebijakan berbasis sumber daya bersifat non-publik, nilai untuk Amazon Resource Name (ARN) dan kunci string tidak boleh berisi wildcard atau variabel. Jika kebijakan berbasis sumber daya menggunakan `aws:PrincipalIsAWSService` kunci, Anda harus memastikan bahwa Anda telah menetapkan nilai kunci ke true.
Kebijakan berikut membatasi akses ke pengguna `Ben` di akun yang ditentukan. Kondisi tersebut membuat `Principal` terkendala dan tidak dianggap publik.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "dsql:*",
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/cluster-id",
"Condition": {
"StringEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:user/Ben"
}
}
}
```
Contoh berikut dari kebijakan berbasis sumber daya non-publik kendala menggunakan operator. `sourceVPC` `StringEquals`
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "dsql:*",
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/cluster-id",
"Condition": {
"StringEquals": {
"aws:SourceVpc": [
"vpc-91237329"
]
}
}
}
]
}
```
# Operasi Aurora DSQL API dan Kebijakan Berbasis Sumber Daya
Kebijakan berbasis sumber daya di Aurora DSQL mengontrol akses ke operasi API tertentu. Bagian berikut mencantumkan semua operasi Aurora DSQL API yang diatur berdasarkan kategori, dengan indikasi mana yang mendukung kebijakan berbasis sumber daya.
Kolom *Mendukung RBP* menunjukkan apakah operasi API tunduk pada evaluasi kebijakan berbasis sumber daya saat kebijakan dilampirkan ke klaster.
## Tag APIs
| Operasi API | Deskripsi | Mendukung RBP |
| --- | --- | --- |
| [ListTagsForResource](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_ListTagsForResource.html) | Daftar tag untuk sumber daya Aurora DSQL | Ya |
| [TagResource](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_TagResource.html) | Menambahkan tag ke sumber daya Aurora DSQL | Ya |
| [UntagResource](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_UntagResource.html) | Menghapus tag dari sumber daya Aurora DSQL | Ya |
## Manajemen cluster APIs
| Operasi API | Deskripsi | Mendukung RBP |
| --- | --- | --- |
| [CreateCluster](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_CreateCluster.html) | Membuat cluster baru | Tidak |
| [DeleteCluster](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_DeleteCluster.html) | Menghapus cluster | Ya |
| [GetCluster](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_GetCluster.html) | Mengambil informasi tentang cluster | Ya |
| [GetVpcEndpointServiceName](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_GetVpcEndpointServiceName.html) | Mengambil nama layanan titik akhir VPC untuk sebuah cluster | Ya |
| [ListClusters](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_ListClusters.html) | Daftar cluster di akun Anda | Tidak |
| [UpdateCluster](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_UpdateCluster.html) | Memperbarui konfigurasi cluster | Ya |
## Properti Multi-Region APIs
| Operasi API | Deskripsi | Mendukung RBP |
| --- | --- | --- |
| [AddPeerCluster](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_AddPeerCluster.html) | Menambahkan peer cluster ke konfigurasi multi-wilayah | Ya |
| [PutMultiRegionProperties](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_PutMultiRegionProperties.html) | Menetapkan properti multi-region untuk sebuah cluster | Ya |
| [PutWitnessRegion](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_PutWitnessRegion.html) | Menetapkan wilayah saksi untuk klaster multi-wilayah | Ya |
## Kebijakan berbasis sumber daya APIs
| Operasi API | Deskripsi | Mendukung RBP |
| --- | --- | --- |
| [DeleteClusterPolicy](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_DeleteClusterPolicy.html) | Menghapus kebijakan berbasis sumber daya dari klaster | Ya |
| [GetClusterPolicy](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_GetClusterPolicy.html) | Mengambil kebijakan berbasis sumber daya untuk klaster | Ya |
| [PutClusterPolicy](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_PutClusterPolicy.html) | Membuat atau memperbarui kebijakan berbasis sumber daya untuk klaster | Ya |
## AWS Fault Injection Service APIs
| Operasi API | Deskripsi | Mendukung RBP |
| --- | --- | --- |
| [InjectError](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_InjectError.html) | Menyuntikkan kesalahan untuk pengujian injeksi kesalahan | Tidak |
## Backup dan restore APIs
| Operasi API | Deskripsi | Mendukung RBP |
| --- | --- | --- |
| [GetBackupJob](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_GetBackupJob.html) | Mengambil informasi tentang pekerjaan cadangan | Tidak |
| [GetRestoreJob](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_GetRestoreJob.html) | Mengambil informasi tentang pekerjaan pemulihan | Tidak |
| [StartBackupJob](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_StartBackupJob.html) | Memulai pekerjaan cadangan untuk klaster | Ya |
| [StartRestoreJob](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_StartRestoreJob.html) | Memulai pekerjaan pemulihan dari cadangan | Tidak |
| [StopBackupJob](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_StopBackupJob.html) | Menghentikan pekerjaan cadangan yang sedang berjalan | Tidak |
| [StopRestoreJob](https://docs.aws.amazon.com/aurora-dsql/latest/APIReference/API_StopRestoreJob.html) | Menghentikan pekerjaan pemulihan yang sedang berjalan | Tidak |
# Menggunakan peran terkait layanan di Aurora DSQL
[Aurora DSQL menggunakan peran terkait layanan AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Aurora DSQL. Peran terkait layanan telah ditentukan sebelumnya oleh Aurora DSQL dan mencakup semua izin yang diperlukan layanan untuk memanggil atas Layanan AWS nama cluster Aurora DSQL Anda.
Peran terkait layanan membuat proses penyiapan lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual untuk menggunakan Aurora DSQL. Saat Anda membuat klaster, Aurora DSQL secara otomatis membuat peran terkait layanan untuk Anda. Anda dapat menghapus peran terkait layanan hanya setelah Anda menghapus semua cluster Anda. Ini melindungi sumber daya Aurora DSQL Anda karena Anda tidak dapat secara tidak sengaja menghapus izin yang diperlukan untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat layanan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan cari layanan yang memiliki **Ya** di kolom Peran Tertaut **Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
Peran terkait layanan tersedia di semua Wilayah Aurora DSQL yang didukung.
## Izin peran terkait layanan untuk Aurora DSQL
Aurora DSQL menggunakan peran terkait layanan bernama — Memungkinkan `AWSServiceRoleForAuroraDsql` Amazon Aurora DSQL membuat dan mengelola sumber daya atas nama Anda. AWS Peran terkait layanan ini dilampirkan ke kebijakan terkelola berikut ini: [AuroraDsqlServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDsqlServiceLinkedRolePolicy.html).
**catatan**
Anda harus mengonfigurasi izin agar entitas IAM (seperti pengguna, grup, atau peran) dapat membuat, mengedit, atau menghapus peran terkait layanan. Anda mungkin menemukan pesan kesalahan berikut:`You don't have the permissions to create an Amazon Aurora DSQL service-linked role`. Jika Anda melihat pesan ini, pastikan bahwa Anda mengaktifkan izin berikut:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateDsqlServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "dsql.amazonaws.com"
}
}
}
]
}
```
Untuk informasi selengkapnya, lihat Izin [peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions.html).
## Buat peran tertaut layanan
Anda tidak perlu membuat peran terkait DSQLService LinkedRolePolicy layanan Aurora secara manual. Aurora DSQL menciptakan peran terkait layanan untuk Anda. Jika peran DSQLService LinkedRolePolicy terkait layanan Aurora telah dihapus dari akun Anda, Aurora DSQL akan membuat peran tersebut saat Anda membuat cluster Aurora DSQL baru.
## Edit peran tertaut layanan
Aurora DSQL tidak memungkinkan Anda untuk mengedit peran terkait layanan Aurora. DSQLService LinkedRolePolicy Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakan konsol IAM, AWS Command Line Interface (AWS CLI), atau IAM API.
## Hapus peran tertaut layanan
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak terpakai yang tidak dipantau atau dipelihara secara aktif.
Sebelum Anda dapat menghapus peran terkait layanan untuk akun, Anda harus menghapus klaster apa pun di akun tersebut.
Anda dapat menggunakan konsol IAM, API IAM AWS CLI, atau IAM untuk menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Membuat peran terkait layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role) Pengguna IAM.
## Wilayah yang Didukung untuk peran terkait layanan Aurora DSQL
Aurora DSQL mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Menggunakan kunci kondisi IAM dengan Amazon Aurora DSQL
Saat Anda memberikan izin di Aurora DSQL, Anda dapat menentukan kondisi yang menentukan bagaimana kebijakan izin diterapkan. Berikut ini adalah contoh bagaimana Anda dapat menggunakan kunci kondisi dalam kebijakan izin Aurora DSQL.
## Contoh 1: Berikan izin untuk membuat klaster di tempat tertentu Wilayah AWS
Kebijakan berikut memberikan izin untuk membuat cluster di Wilayah AS Timur (Virginia N.) dan Timur AS (Ohio). Kebijakan ini menggunakan ARN sumber daya untuk membatasi Wilayah yang diizinkan, sehingga Aurora DSQL hanya dapat membuat klaster hanya jika ARN tersebut ditentukan di bagian kebijakan. `Resource`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": ["dsql:CreateCluster"],
"Resource": [
"arn:aws:dsql:us-east-1:*:cluster/*",
"arn:aws:dsql:us-east-2:*:cluster/*"
],
"Effect": "Allow"
}
]
}
```
------
## Contoh 2: Berikan izin untuk membuat cluster Multi-wilayah di s tertentu Wilayah AWS
Kebijakan berikut memberikan izin untuk membuat klaster Multi-wilayah di Wilayah AS Timur (Virginia N.) dan Timur AS (Ohio). Kebijakan ini menggunakan ARN sumber daya untuk membatasi Wilayah yang diizinkan, sehingga Aurora DSQL dapat membuat klaster Multi-wilayah hanya jika ARN ini ditentukan di bagian kebijakan. `Resource` Perhatikan bahwa membuat klaster Multi-wilayah juga memerlukan `AddPeerCluster` izin`PutMultiRegionProperties`,`PutWitnessRegion`, dan di setiap Wilayah yang ditentukan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:PutWitnessRegion",
"dsql:AddPeerCluster"
],
"Resource": [
"arn:aws:dsql:us-east-1:123456789012:cluster/*",
"arn:aws:dsql:us-east-2:123456789012:cluster/*"
]
}
]
}
```
------
## Contoh 3: Berikan izin untuk membuat klaster Multi-wilayah dengan Wilayah saksi tertentu
Kebijakan berikut menggunakan kunci `dsql:WitnessRegion` kondisi Aurora DSQL dan memungkinkan pengguna membuat klaster Multi-wilayah dengan Wilayah saksi di AS Barat (Oregon). Jika Anda tidak menentukan `dsql:WitnessRegion` kondisinya, Anda dapat menggunakan Wilayah mana pun sebagai Wilayah saksi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:AddPeerCluster"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*"
},
{
"Effect": "Allow",
"Action": [
"dsql:PutWitnessRegion"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*",
"Condition": {
"StringEquals": {
"dsql:WitnessRegion": [
"us-west-2"
]
}
}
}
]
}
```
------
# Respon insiden di Amazon Aurora DSQL
Keamanan adalah prioritas tertinggi di AWS. Sebagai bagian dari model tanggung jawab bersama AWS Cloud, AWS mengelola pusat data, jaringan, dan arsitektur perangkat lunak yang memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan. AWS bertanggung jawab atas setiap respons insiden sehubungan dengan layanan Amazon Aurora DSQL itu sendiri. Selain itu, sebagai AWS pelanggan, Anda berbagi tanggung jawab untuk menjaga keamanan di cloud. Ini berarti Anda mengontrol keamanan yang Anda pilih untuk diterapkan dari AWS alat dan fitur yang dapat Anda akses. Selain itu, Anda bertanggung jawab atas respons insiden di pihak Anda dari model tanggung jawab bersama.
Dengan menetapkan garis dasar keamanan yang memenuhi tujuan aplikasi Anda yang berjalan di cloud, Anda dapat mendeteksi penyimpangan yang dapat Anda tanggapi. Untuk membantu Anda memahami dampak respons insiden dan pilihan Anda terhadap tujuan perusahaan Anda, kami mendorong Anda untuk meninjau sumber daya berikut:
+ [AWS Panduan Respons Insiden Keamanan](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)
+ [AWS Praktik Terbaik untuk Keamanan, Identitas, dan Kepatuhan](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Perspektif Keamanan dari AWS whitepaper Cloud Adoption Framework (CAF)](https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/security-perspective.html)
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) adalah layanan deteksi ancaman terkelola yang terus memantau perilaku berbahaya atau tidak sah untuk membantu pelanggan melindungi Akun AWS dan beban kerja serta mengidentifikasi aktivitas mencurigakan yang berpotensi sebelum meningkat menjadi insiden. Ini memantau aktivitas seperti panggilan API yang tidak biasa atau penerapan yang berpotensi tidak sah yang menunjukkan kemungkinan kompromi akun atau sumber daya atau pengintaian oleh aktor jahat. Misalnya, Amazon GuardDuty dapat mendeteksi aktivitas mencurigakan di Amazon Aurora APIs DSQL, seperti pengguna yang masuk dari lokasi baru dan membuat cluster baru.
# Validasi kepatuhan untuk Amazon Aurora DSQL
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di Amazon Aurora DSQL
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones (AZ). Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional. Aurora DSQL dirancang sedemikian rupa sehingga Anda dapat memanfaatkan infrastruktur AWS Regional sambil menyediakan ketersediaan database tertinggi. Secara default, kluster wilayah tunggal di Aurora DSQL memiliki ketersediaan Multi-AZ, memberikan toleransi terhadap kegagalan komponen utama dan gangguan infrastruktur yang dapat memengaruhi akses ke AZ penuh. Cluster Multi-Region memberikan semua manfaat dari ketahanan Multi-AZ sambil tetap menyediakan ketersediaan database yang sangat konsisten, bahkan dalam kasus di mana Wilayah AWS tidak dapat diakses oleh klien aplikasi.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
Selain infrastruktur AWS global, Aurora DSQL menawarkan beberapa fitur untuk membantu mendukung ketahanan data dan kebutuhan cadangan Anda.
## Pencadangan dan pemulihan
Aurora DSQL mendukung pencadangan dan pemulihan dengan. Konsol AWS Backup Anda dapat melakukan pencadangan dan pemulihan penuh untuk kluster Single-region dan Multi-region Anda. Untuk informasi selengkapnya, lihat [Cadangkan dan pulihkan untuk Amazon Aurora DSQLPencadangan dan pemulihan](backup-aurora-dsql.md).
## Replikasi
Secara desain, Aurora DSQL melakukan semua transaksi tulis ke log transaksi terdistribusi dan secara sinkron mereplikasi semua data log yang berkomitmen ke replika penyimpanan pengguna dalam tiga. AZs Cluster Multi-Region menyediakan kemampuan replikasi Lintas wilayah lengkap antara Wilayah baca dan tulis.
Wilayah saksi yang ditunjuk mendukung penulisan log-only transaksi dan tidak menggunakan penyimpanan. Wilayah Saksi tidak memiliki titik akhir. Ini berarti bahwa Witness Regions hanya menyimpan log transaksi terenkripsi, tidak memerlukan administrasi atau konfigurasi, dan tidak dapat diakses oleh pengguna. Jika Daerah saksi mengalami gangguan, tidak ada dampak terhadap ketersediaan klaster. Transaksi tulis mungkin mengalami sedikit peningkatan latensi sampai Wilayah saksi pulih.
Log transaksi Aurora DSQL dan penyimpanan pengguna didistribusikan dengan semua data yang disajikan ke prosesor kueri Aurora DSQL sebagai volume logis tunggal. Aurora DSQL secara otomatis membagi, menggabungkan, dan mereplikasi data berdasarkan rentang kunci utama basis data dan pola akses. Aurora DSQL secara otomatis menskalakan replika baca, baik naik maupun turun, berdasarkan frekuensi akses baca.
Replika penyimpanan cluster didistribusikan di seluruh armada penyimpanan multi-penyewa. Jika komponen atau AZ menjadi rusak, Aurora DSQL secara otomatis mengalihkan akses ke komponen yang masih ada dan secara asinkron memperbaiki replika yang hilang. Setelah Aurora DSQL memperbaiki replika yang rusak, Aurora DSQL secara otomatis menambahkannya kembali ke kuorum penyimpanan dan membuatnya tersedia untuk cluster Anda.
## Ketersediaan tinggi
Secara default, kluster Single-region dan Multi-region di Aurora DSQL adalah aktif-aktif, dan Anda tidak perlu menyediakan, mengonfigurasi, atau mengkonfigurasi ulang cluster apa pun secara manual. Aurora DSQL sepenuhnya mengotomatiskan pemulihan cluster, yang menghilangkan kebutuhan untuk operasi failover primer-sekunder tradisional. Replikasi selalu sinkron dan dilakukan dalam beberapa AZs, sehingga tidak ada risiko kehilangan data karena replikasi lag atau failover ke database sekunder asinkron selama pemulihan kegagalan.
Cluster Wilayah Tunggal menyediakan titik akhir redundan multi-AZ yang secara otomatis memungkinkan akses bersamaan dengan konsistensi data yang kuat di tiga. AZs Ini berarti bahwa replika penyimpanan pengguna pada salah satu dari ketiganya AZs selalu mengembalikan hasil yang sama ke satu atau lebih pembaca dan selalu tersedia untuk menerima tulisan. Konsistensi yang kuat dan ketahanan Multi-AZ ini tersedia di semua Wilayah untuk klaster Multi-wilayah Aurora DSQL. Ini berarti bahwa klaster Multi-wilayah menyediakan dua titik akhir Regional yang sangat konsisten, sehingga klien dapat membaca atau menulis tanpa pandang bulu ke salah satu Wilayah tanpa jeda replikasi pada komit.
Aurora DSQL menyediakan 99,99% ketersediaan untuk kluster Single-region dan 99,999% untuk cluster Multi-region.
## Pengujian injeksi kesalahan
Amazon Aurora DSQL terintegrasi dengan AWS Fault Injection Service (AWS FIS), layanan yang dikelola sepenuhnya untuk menjalankan eksperimen injeksi kesalahan terkontrol guna meningkatkan ketahanan aplikasi. Menggunakan AWS FIS, Anda dapat:
+ Buat templat eksperimen yang menentukan skenario kegagalan tertentu
+ Kegagalan injeksi (tingkat kesalahan koneksi cluster yang meningkat) untuk memvalidasi penanganan kesalahan aplikasi dan mekanisme pemulihan
+ Uji perilaku aplikasi Multi-wilayah untuk memvalidasi pergeseran lalu lintas aplikasi antara Wilayah AWS saat seseorang Wilayah AWS mengalami tingkat kesalahan koneksi yang tinggi
Misalnya, dalam cluster Multi-region yang mencakup US East (Virginia N.) dan US East (Ohio), Anda dapat menjalankan eksperimen di US East (Ohio) untuk menguji kegagalan di sana sementara US East (Virginia N.) melanjutkan operasi normal. Pengujian terkontrol ini membantu Anda mengidentifikasi dan menyelesaikan masalah potensial sebelum memengaruhi beban kerja produksi.
Lihat [Target tindakan](https://docs.aws.amazon.com/fis/latest/userguide/action-sequence.html#action-targets) di *panduan AWS FIS pengguna* untuk mengetahui daftar lengkap tindakan yang AWS FIS didukung.
*Untuk informasi tentang tindakan DSQL Amazon Aurora yang tersedia di, AWS FIS lihat referensi tindakan [Aurora DSQL](https://docs.aws.amazon.com/fis/latest/userguide/fis-actions-reference.html#dsql-actions-reference) di Panduan Pengguna.AWS FIS *
Untuk mulai menjalankan eksperimen injeksi kesalahan, lihat [Merencanakan AWS FIS eksperimen Anda](https://docs.aws.amazon.com/fis/latest/userguide/getting-started-planning.html) di *Panduan AWS FIS Pengguna*.
# Keamanan Infrastruktur di Amazon Aurora DSQL
Sebagai layanan terkelola, Amazon Aurora DSQL dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam [Praktik Terbaik untuk Keamanan, Identitas,](https://aws.amazon.com/architecture/security-identity-compliance) & Kepatuhan.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Aurora DSQL melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.2 atau versi yang lebih baru. Klien juga harus mendukung suite cipher dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
# Mengelola dan menghubungkan ke cluster DSQL Amazon Aurora menggunakan AWS PrivateLink
Dengan AWS PrivateLink Amazon Aurora DSQL, Anda dapat menyediakan antarmuka titik akhir Amazon VPC (titik akhir antarmuka) di Amazon Virtual Private Cloud Anda. Titik akhir ini dapat diakses langsung dari aplikasi yang ada di lokasi melalui Amazon VPC Direct Connect dan, atau berbeda dengan Wilayah AWS peering VPC Amazon. Menggunakan AWS PrivateLink dan antarmuka endpoint, Anda dapat menyederhanakan konektivitas jaringan pribadi dari aplikasi Anda ke Aurora DSQL.
Aplikasi dalam VPC Amazon Anda dapat mengakses Aurora DSQL menggunakan titik akhir antarmuka Amazon VPC tanpa memerlukan alamat IP publik.
Titik akhir antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENIs) yang diberi alamat IP pribadi dari subnet di VPC Amazon Anda. Permintaan ke Aurora DSQL melalui titik akhir antarmuka tetap ada di jaringan. AWS Untuk informasi selengkapnya tentang cara menghubungkan VPC Amazon dengan jaringan lokal, lihat [Panduan Direct Connect Pengguna dan Panduan Pengguna AWS Site-to-Site VPN](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) [VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html).
Untuk informasi umum tentang titik akhir antarmuka, lihat [Mengakses AWS layanan menggunakan antarmuka titik akhir Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink)Panduan Pengguna.
## Jenis titik akhir VPC Amazon untuk Aurora DSQL
Aurora DSQL membutuhkan dua jenis endpoint yang berbeda. AWS PrivateLink
1. *Endpoint manajemen* — Endpoint ini digunakan untuk operasi administratif, seperti,,`get`, `create` `update``delete`, dan pada cluster `list` Aurora DSQL. Lihat [Mengelola cluster Aurora DSQL menggunakan AWS PrivateLink](#managing-dsql-clusters-using-privatelink).
1. *Connection endpoint* — Endpoint ini digunakan untuk menghubungkan ke cluster Aurora DSQL melalui klien PostgreSQL. Lihat [Menghubungkan ke cluster Aurora DSQL menggunakan AWS PrivateLink](#privatelink-connecting-clusters).
## Pertimbangan saat menggunakan AWS PrivateLink untuk Aurora DSQL
Pertimbangan Amazon VPC berlaku untuk AWS PrivateLink Aurora DSQL. Untuk informasi selengkapnya, lihat [Mengakses AWS layanan menggunakan titik akhir VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations) dan [AWS PrivateLink kuota](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html) di Panduan. AWS PrivateLink
## Mengelola cluster Aurora DSQL menggunakan AWS PrivateLink
Anda dapat menggunakan AWS Command Line Interface atau AWS Software Development Kit (SDKs) untuk mengelola cluster Aurora DSQL melalui titik akhir antarmuka Aurora DSQL.
### Membuat titik akhir Amazon VPC
Untuk membuat titik akhir antarmuka VPC Amazon, lihat Membuat titik akhir [VPC Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di Panduan. AWS PrivateLink
```
aws ec2 create-vpc-endpoint \
--region region \
--service-name com.amazonaws.region.dsql \
--vpc-id your-vpc-id \
--subnet-ids your-subnet-id \
--vpc-endpoint-type Interface \
--security-group-ids client-sg-id \
```
Untuk menggunakan nama DNS Regional default untuk permintaan API Aurora DSQL, jangan nonaktifkan DNS pribadi saat Anda membuat titik akhir antarmuka Aurora DSQL. Ketika DNS pribadi diaktifkan, permintaan ke layanan Aurora DSQL yang dibuat dari dalam VPC Amazon Anda akan secara otomatis menyelesaikan ke alamat IP pribadi titik akhir VPC Amazon, bukan nama DNS publik. Saat DNS pribadi diaktifkan, permintaan Aurora DSQL yang dibuat dalam VPC Amazon Anda akan secara otomatis diselesaikan ke titik akhir VPC Amazon Anda.
Jika DNS pribadi tidak diaktifkan, gunakan `--endpoint-url` parameter `--region` dan dengan AWS CLI perintah untuk mengelola cluster Aurora DSQL melalui titik akhir antarmuka Aurora DSQL.
### Daftar cluster menggunakan URL endpoint
Dalam contoh berikut, ganti Wilayah AWS `us-east-1` dan nama DNS `vpce-1a2b3c4d-5e6f.dsql.us-east-1.vpce.amazonaws.com` ID endpoint Amazon VPC dengan informasi Anda sendiri.
```
aws dsql --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.dsql.us-east-1.vpce.amazonaws.com list-clusters
```
### Operasi API
Lihat referensi [Aurora DSQL API](CHAP_api_reference.md) untuk dokumentasi pengelolaan sumber daya di Aurora DSQL.
### Mengelola kebijakan endpoint
Dengan menguji dan mengonfigurasi kebijakan titik akhir VPC Amazon secara menyeluruh, Anda dapat membantu memastikan bahwa klaster Aurora DSQL Anda aman, sesuai, dan selaras dengan kontrol akses dan persyaratan tata kelola khusus organisasi Anda.
**Contoh: Kebijakan akses DSQL Aurora Penuh**
Kebijakan berikut memberikan akses penuh ke semua tindakan dan sumber daya Aurora DSQL melalui titik akhir VPC Amazon yang ditentukan.
```
aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-xxxxxxxxxxxxxxxxx \
--region region \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "dsql:*",
"Resource": "*"
}
]
}'
```
**Contoh: Kebijakan Akses Aurora DSQL Terbatas**
Kebijakan berikut hanya mengizinkan tindakan Aurora DSQL ini.
+ `CreateCluster`
+ `GetCluster`
+ `ListClusters`
Semua tindakan Aurora DSQL lainnya ditolak.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"dsql:CreateCluster",
"dsql:GetCluster",
"dsql:ListClusters"
],
"Resource": "*"
}
]
}
```
------
## Menghubungkan ke cluster Aurora DSQL menggunakan AWS PrivateLink
Setelah AWS PrivateLink endpoint Anda diatur dan aktif, Anda dapat terhubung ke cluster Aurora DSQL Anda menggunakan klien PostgreSQL. Instruksi koneksi di bawah ini menguraikan langkah-langkah untuk membangun nama host yang tepat untuk menghubungkan melalui titik akhir. AWS PrivateLink
### Menyiapkan titik akhir AWS PrivateLink koneksi
******Langkah 1: Dapatkan nama layanan untuk cluster Anda**
Saat membuat AWS PrivateLink endpoint untuk menghubungkan ke cluster Anda, Anda harus terlebih dahulu mengambil nama layanan khusus cluster.
------
#### [ AWS CLI ]
```
aws dsql get-vpc-endpoint-service-name \
--region us-east-1 \
--identifier your-cluster-id
```
Contoh tanggapan
```
{
"serviceName": "com.amazonaws.us-east-1.dsql-fnh4"
}
```
Nama layanan termasuk pengenal, seperti `dsql-fnh4` dalam contoh. Pengenal ini juga diperlukan saat membuat nama host untuk menghubungkan ke cluster Anda.
------
#### [ AWS SDK for Python (Boto3) ]
```
import boto3
dsql_client = boto3.client('dsql', region_name='us-east-1')
response = dsql_client.get_vpc_endpoint_service_name(
identifier='your-cluster-id'
)
service_name = response['serviceName']
print(f"Service Name: {service_name}")
```
------
#### [ AWS SDK for Java 2.x ]
```
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.GetVpcEndpointServiceNameRequest;
import software.amazon.awssdk.services.dsql.model.GetVpcEndpointServiceNameResponse;
String region = "us-east-1";
String clusterId = "your-cluster-id";
DsqlClient dsqlClient = DsqlClient.builder()
.region(Region.of(region))
.credentialsProvider(DefaultCredentialsProvider.create())
.build();
GetVpcEndpointServiceNameResponse response = dsqlClient.getVpcEndpointServiceName(
GetVpcEndpointServiceNameRequest.builder()
.identifier(clusterId)
.build()
);
String serviceName = response.serviceName();
System.out.println("Service Name: " + serviceName);
```
------
**Langkah 2: Buat titik akhir Amazon VPC**
Menggunakan nama layanan yang diperoleh pada langkah sebelumnya, buat titik akhir VPC Amazon.
**penting**
Petunjuk koneksi di bawah ini hanya berfungsi untuk menghubungkan ke cluster saat privat diaktifkan DNS. Jangan gunakan `--no-private-dns-enabled` bendera saat membuat titik akhir, karena ini akan mencegah instruksi koneksi di bawah ini berfungsi dengan baik. Jika Anda menonaktifkan DNS pribadi, Anda harus membuat catatan DNS pribadi wildcard Anda sendiri yang menunjuk ke titik akhir yang dibuat.
------
#### [ AWS CLI ]
```
aws ec2 create-vpc-endpoint \
--region us-east-1 \
--service-name service-name-for-your-cluster \
--vpc-id your-vpc-id \
--subnet-ids subnet-id-1 subnet-id-2 \
--vpc-endpoint-type Interface \
--security-group-ids security-group-id
```
**Contoh respon**
```
{
"VpcEndpoint": {
"VpcEndpointId": "vpce-0123456789abcdef0",
"VpcEndpointType": "Interface",
"VpcId": "vpc-0123456789abcdef0",
"ServiceName": "com.amazonaws.us-east-1.dsql-fnh4",
"State": "pending",
"RouteTableIds": [],
"SubnetIds": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1"
],
"Groups": [
{
"GroupId": "sg-0123456789abcdef0",
"GroupName": "default"
}
],
"PrivateDnsEnabled": true,
"RequesterManaged": false,
"NetworkInterfaceIds": [
"eni-0123456789abcdef0",
"eni-0123456789abcdef1"
],
"DnsEntries": [
{
"DnsName": "*.dsql-fnh4.us-east-1.vpce.amazonaws.com",
"HostedZoneId": "Z7HUB22UULQXV"
}
],
"CreationTimestamp": "2025-01-01T00:00:00.000Z"
}
}
```
------
#### [ SDK for Python ]
```
import boto3
ec2_client = boto3.client('ec2', region_name='us-east-1')
response = ec2_client.create_vpc_endpoint(
VpcEndpointType='Interface',
VpcId='your-vpc-id',
ServiceName='com.amazonaws.us-east-1.dsql-fnh4', # Use the service name from previous step
SubnetIds=[
'subnet-id-1',
'subnet-id-2'
],
SecurityGroupIds=[
'security-group-id'
]
)
vpc_endpoint_id = response['VpcEndpoint']['VpcEndpointId']
print(f"VPC Endpoint created with ID: {vpc_endpoint_id}")
```
------
#### [ SDK for Java 2.x ]
Gunakan URL endpoint untuk Aurora DSQL APIs
```
import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.ec2.Ec2Client;
import software.amazon.awssdk.services.ec2.model.CreateVpcEndpointRequest;
import software.amazon.awssdk.services.ec2.model.CreateVpcEndpointResponse;
import software.amazon.awssdk.services.ec2.model.VpcEndpointType;
String region = "us-east-1";
String serviceName = "com.amazonaws.us-east-1.dsql-fnh4"; // Use the service name from previous step
String vpcId = "your-vpc-id";
Ec2Client ec2Client = Ec2Client.builder()
.region(Region.of(region))
.credentialsProvider(DefaultCredentialsProvider.create())
.build();
CreateVpcEndpointRequest request = CreateVpcEndpointRequest.builder()
.vpcId(vpcId)
.serviceName(serviceName)
.vpcEndpointType(VpcEndpointType.INTERFACE)
.subnetIds("subnet-id-1", "subnet-id-2")
.securityGroupIds("security-group-id")
.build();
CreateVpcEndpointResponse response = ec2Client.createVpcEndpoint(request);
String vpcEndpointId = response.vpcEndpoint().vpcEndpointId();
System.out.println("VPC Endpoint created with ID: " + vpcEndpointId);
```
------
**Pengaturan tambahan saat menghubungkan melalui Direct Connect atau peering VPC Amazon**
Beberapa pengaturan tambahan mungkin diperlukan untuk terhubung ke cluster Aurora DSQL menggunakan titik akhir AWS PrivateLink koneksi dari perangkat on-premise melalui Amazon VPC peering atau. Direct Connect Penyiapan ini tidak diperlukan jika aplikasi Anda berjalan di VPC Amazon yang sama dengan titik akhir Anda AWS PrivateLink . Entri DNS pribadi yang dibuat di atas tidak akan diselesaikan dengan benar di luar VPC Amazon titik akhir, tetapi Anda dapat membuat catatan DNS pribadi Anda sendiri yang menyelesaikan titik akhir koneksi Anda. AWS PrivateLink
Buat data DNS CNAME pribadi yang menunjuk ke nama domain yang sepenuhnya memenuhi syarat dari AWS PrivateLink titik akhir. Nama domain dari catatan DNS yang dibuat harus dibangun dari komponen-komponen berikut:
1. Pengidentifikasi layanan dari nama layanan. Misalnya: `dsql-fnh4`
1. The Wilayah AWS
Buat catatan DNS CNAME dengan nama domain dalam format berikut: `*.service-identifier.region.on.aws`
Format nama domain penting karena dua alasan:
1. Nama host yang digunakan untuk terhubung ke Aurora DSQL harus sesuai dengan sertifikat server Aurora DSQL saat menggunakan mode SSL. `verify-full` Ini memastikan tingkat keamanan koneksi tertinggi.
1. Aurora DSQL menggunakan bagian ID cluster dari nama host yang digunakan untuk terhubung ke Aurora DSQL untuk mengidentifikasi cluster penghubung.
Jika membuat catatan DNS pribadi tidak memungkinkan, Anda masih dapat terhubung ke Aurora DSQL. Lihat [Menghubungkan ke cluster Aurora DSQL menggunakan endpoint tanpa DNS pribadi AWS PrivateLink](#connecting-cluster-id-option).
### Menghubungkan ke cluster Aurora DSQL menggunakan titik akhir koneksi AWS PrivateLink
Setelah AWS PrivateLink titik akhir Anda diatur dan aktif (periksa apakah ada`available`), Anda dapat terhubung ke cluster Aurora DSQL Anda menggunakan klien PostgreSQL. `State` Untuk petunjuk penggunaan AWS SDKs, Anda dapat mengikuti panduan dalam [Pemrograman dengan Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/programming-with.html). Anda harus mengubah titik akhir cluster agar sesuai dengan format nama host.
#### Membangun nama host
Nama host untuk menghubungkan AWS PrivateLink berbeda dari nama host DNS publik. Anda perlu membangunnya menggunakan komponen-komponen berikut.
1. `Your-cluster-id`
1. Pengidentifikasi layanan dari nama layanan. Misalnya: `dsql-fnh4`
1. The Wilayah AWS. Misalnya: `us-east-1`
Gunakan format berikut: `cluster-id.service-identifier.region.on.aws`
**Contoh: Koneksi Menggunakan PostgreSQL**
```
# Set environment variables
export CLUSTERID=your-cluster-id
export REGION=us-east-1
export SERVICE_IDENTIFIER=dsql-fnh4 # This should match the identifier in your service name
# Construct the hostname
export HOSTNAME="$CLUSTERID.$SERVICE_IDENTIFIER.$REGION.on.aws"
# Generate authentication token
export PGPASSWORD=$(aws dsql --region $REGION generate-db-connect-admin-auth-token --hostname $HOSTNAME)
# Connect using psql
psql -d postgres -h $HOSTNAME -U admin
```
#### Menghubungkan ke cluster Aurora DSQL menggunakan endpoint tanpa DNS pribadi AWS PrivateLink
Instruksi koneksi di atas bergantung pada catatan DNS pribadi. Jika aplikasi Anda berjalan di VPC Amazon yang sama dengan AWS PrivateLink titik akhir Anda, catatan DNS dibuat untuk Anda. Atau, jika Anda terhubung dari perangkat lokal melalui peering VPC Amazon atau Direct Connect, Anda dapat membuat catatan DNS pribadi Anda sendiri. Namun, penyiapan catatan DNS tidak selalu dimungkinkan karena pembatasan jaringan yang diberlakukan oleh tim keamanan Anda. Jika aplikasi Anda harus terhubung menggunakan Direct Connect atau dari VPC Amazon peered, dan penyiapan catatan DNS tidak memungkinkan, Anda masih dapat terhubung ke Aurora DSQL.
Aurora DSQL menggunakan bagian ID cluster dari nama host Anda untuk mengidentifikasi cluster penghubung, tetapi jika pengaturan catatan DNS tidak memungkinkan, Aurora DSQL mendukung menentukan cluster target menggunakan opsi koneksi. `amzn-cluster-id` Dengan opsi ini, Anda dapat menggunakan nama domain yang sepenuhnya memenuhi syarat dari AWS PrivateLink titik akhir Anda sebagai nama host Anda saat menghubungkan.
**penting**
Saat menghubungkan dengan nama domain atau alamat IP yang sepenuhnya memenuhi syarat dari AWS PrivateLink titik akhir Anda, mode `verify-full` SSL tidak didukung. Untuk alasan ini, pengaturan DNS pribadi lebih disukai.
**Contoh: Menentukan opsi koneksi ID cluster menggunakan PostgreSQL**
```
# Set environment variables
export CLUSTERID=your-cluster-id
export REGION=us-east-1
export HOSTNAME=vpce-04037adb76c111221-d849uc2p.dsql-fnh4.us-east-1.vpce.amazonaws.com # This should match your endpoint's fully-qualified domain name
# Construct the hostname used to generate the authentication token
export AUTH_HOSTNAME="$CLUSTERID.dsql.$REGION.on.aws"
# Generate authentication token
export PGPASSWORD=$(aws dsql --region $REGION generate-db-connect-admin-auth-token --hostname $AUTH_HOSTNAME)
# Specify the amzn-cluster-id connection option
export PGOPTIONS="-c amzn-cluster-id=$CLUSTERID"
# Connect using psql
psql -d postgres -h $HOSTNAME -U admin
```
### Memecahkan masalah dengan AWS PrivateLink
#### Masalah dan Solusi Umum
Tabel berikut mencantumkan masalah umum dan solusi yang berkaitan AWS PrivateLink dengan Aurora DSQL.
| Isu | Kemungkinan penyebab | Solusi |
| --- | --- | --- |
| Batas waktu koneksi | Grup keamanan tidak dikonfigurasi dengan benar | Gunakan Amazon VPC Reachability Analyzer untuk memastikan penyiapan jaringan Anda memungkinkan lalu lintas di port 5432. |
| Kegagalan resolusi DNS | DNS pribadi tidak diaktifkan | Verifikasi bahwa titik akhir VPC Amazon dibuat dengan DNS pribadi diaktifkan. |
| Kegagalan otentikasi | Kredensi salah atau token kedaluwarsa | Buat token otentikasi baru dan verifikasi nama pengguna. |
| Nama layanan tidak ditemukan | ID cluster salah | Periksa kembali ID cluster Anda dan Wilayah AWS saat mengambil nama layanan. |
### Sumber Daya Terkait
Untuk informasi selengkapnya, lihat sumber daya berikut:
+ [Panduan Pengguna Amazon Aurora DSQL](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-dsql.html)
+ [Dokumentasi AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)
+ [Akses AWS layanan melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)
# Analisis konfigurasi dan kerentanan di Amazon Aurora DSQL
AWS menangani tugas-tugas keamanan dasar seperti sistem operasi tamu (OS) dan patching database, konfigurasi firewall, dan pemulihan bencana. Prosedur ini telah ditinjau dan disertifikasi oleh pihak ketiga yang sesuai. Untuk detail selengkapnya, lihat sumber daya berikut:
+ [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Amazon Web Services: Ikhtisar proses keamanan (whitepaper)](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)
# Pencegahan "confused deputy" lintas layanan
Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (*layanan yang dipanggil*) memanggil layanan lain (*layanan yang dipanggil*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan principal layanan yang telah diberi akses ke sumber daya di akun Anda.
Sebaiknya gunakan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global dalam kebijakan sumber daya untuk membatasi izin yang diberikan Amazon Aurora DSQL layanan lain ke sumber daya. Gunakan `aws:SourceArn` jika Anda ingin hanya satu sumber daya yang akan dikaitkan dengan akses lintas layanan. Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Cara paling efektif untuk melindungi dari masalah "confused deputy" adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap sumber daya atau jika Anda menentukan beberapa sumber daya, gunakan kunci kondisi konteks global `aws:SourceArn` dengan karakter wildcard (`*`) untuk bagian ARN yang tidak diketahui. Misalnya, `arn:aws:dsql:*:123456789012:*`.
Jika nilai `aws:SourceArn` tidak berisi ID akun, seperti ARN bucket Amazon S3, Anda harus menggunakan kedua kunci konteks kondisi global tersebut untuk membatasi izin.
Nilai `aws:SourceArn` harus ResourceDescription.
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan `aws:SourceArn` dan kunci konteks kondisi `aws:SourceAccount` global di Aurora DSQL untuk mencegah masalah wakil bingung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "backup.amazonaws.com"
},
"Action": "dsql:GetCluster",
"Resource": [
"arn:aws:dsql:*:123456789012:cluster/*"
],
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:backup:*:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
# Praktik terbaik keamanan untuk Aurora DSQL
Aurora DSQL menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
**Topics**
+ [
# Praktik terbaik keamanan Detektif untuk Aurora DSQL
](best-practices-security-detective.md)
+ [
# Praktik terbaik keamanan preventif untuk Aurora DSQL
](best-practices-security-preventative.md)
# Praktik terbaik keamanan Detektif untuk Aurora DSQL
Selain cara-cara berikut untuk menggunakan Aurora DSQL dengan aman, [lihat](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) Keamanan AWS Well-Architected Tool untuk mempelajari tentang bagaimana teknologi cloud meningkatkan keamanan Anda.
** CloudWatch Alarm Amazon**
Menggunakan CloudWatch alarm Amazon, Anda menonton satu metrik selama periode waktu yang Anda tentukan. Jika metrik melebihi ambang batas tertentu, pemberitahuan akan dikirim ke topik atau AWS Auto Scaling kebijakan Amazon SNS. CloudWatch alarm tidak memanggil tindakan karena mereka berada dalam keadaan tertentu. Sebaliknya, status harus diubah dan dipelihara selama jangka waktu tertentu.
**Tandai sumber daya Aurora DSQL Anda untuk identifikasi dan otomatisasi**
Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tanda adalah label sederhana yang terdiri dari kunci yang ditetapkan pelanggan dan nilai opsional yang memudahkan untuk mengelola, mencari, dan memfilter sumber daya.
Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tanda yang melekat, tanda memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini beberapa contohnya:
+ Keamanan – Digunakan untuk menentukan persyaratan seperti enkripsi.
+ Kerahasiaan – Sebuah pengidentifikasi untuk dukungan sumber daya tingkat kerahasiaan data tertentu.
+ Lingkungan – Digunakan untuk membedakan antara pengembangan, pengujian, dan infrastruktur produksi.
Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tanda adalah label sederhana yang terdiri dari kunci yang ditetapkan pelanggan dan nilai opsional yang memudahkan untuk mengelola, mencari, dan memfilter sumber daya.
Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tag yang melekat, tag memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini adalah beberapa contoh.
+ Keamanan — digunakan untuk menentukan persyaratan seperti enkripsi.
+ Kerahasiaan — pengenal untuk tingkat kerahasiaan data tertentu yang didukung sumber daya.
+ Lingkungan — digunakan untuk membedakan antara pembangunan, pengujian, dan infrastruktur produksi.
Untuk informasi selengkapnya, lihat [Praktik Terbaik untuk Menandai AWS Sumber Daya](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html).
# Praktik terbaik keamanan preventif untuk Aurora DSQL
Selain cara-cara berikut untuk menggunakan Aurora DSQL dengan aman, [lihat](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html) Keamanan AWS Well-Architected Tool untuk mempelajari tentang bagaimana teknologi cloud meningkatkan keamanan Anda.
**Gunakan peran IAM untuk mengautentikasi akses ke Aurora DSQL.**
Pengguna, aplikasi, dan lainnya Layanan AWS yang mengakses Aurora DSQL harus menyertakan AWS kredensi yang valid dalam API dan permintaan. AWS AWS CLI Anda tidak boleh menyimpan AWS kredensyal secara langsung di aplikasi atau instans EC2. Ini adalah kredensyal jangka panjang yang tidak diputar secara otomatis. Ada dampak bisnis yang signifikan jika kredensil ini dikompromikan. Peran IAM memungkinkan Anda memperoleh kunci akses sementara yang dapat Anda gunakan untuk mengakses Layanan AWS dan sumber daya.
Untuk informasi selengkapnya, lihat [Otentikasi dan otorisasi untuk Aurora DSQL](authentication-authorization.md).
**Gunakan kebijakan IAM untuk otorisasi dasar Aurora DSQL.**
Saat Anda memberikan izin, Anda memutuskan siapa yang mendapatkannya, operasi Aurora DSQL API mana yang mereka dapatkan izin, dan tindakan spesifik yang ingin Anda izinkan pada sumber daya tersebut. Menerapkan akses hak akses paling rendah adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat disebabkan oleh kesalahan atau niat jahat.
Lampirkan kebijakan izin ke peran IAM dan berikan izin untuk melakukan operasi pada sumber daya Aurora DSQL. Juga tersedia [batas izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html), yang memungkinkan Anda menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM.
Mirip dengan [praktik terbaik pengguna root untuk Anda Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html), jangan gunakan `admin` peran di Aurora DSQL untuk melakukan operasi sehari-hari. Sebagai gantinya, kami menyarankan Anda membuat peran basis data khusus untuk mengelola dan terhubung ke klaster Anda. Untuk informasi selengkapnya, lihat [Mengakses Aurora DSQL [dan Memahami otentikasi dan](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) otorisasi untuk Aurora](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/accessing.html) DSQL.
**Gunakan `verify-full` di lingkungan produksi.**
Pengaturan ini memverifikasi bahwa sertifikat server ditandatangani oleh otoritas sertifikat tepercaya dan bahwa nama host server cocok dengan sertifikat.
**Perbarui klien PostgreSQL Anda**
Perbarui klien PostgreSQL Anda secara teratur ke versi terbaru untuk mendapatkan manfaat dari peningkatan keamanan. Kami merekomendasikan menggunakan PostgreSQL versi 17.