Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di politiche comuni basate sulle risorse
Questi esempi mostrano modelli comuni per controllare l'accesso ai cluster Aurora DSQL. È possibile combinare e modificare questi modelli per soddisfare i requisiti di accesso specifici.
Blocca l'accesso pubblico a Internet
Questa policy blocca le connessioni ai cluster Aurora DSQL dalla rete Internet pubblica (non VPC). La policy non specifica da quale VPC i clienti possono connettersi, ma solo che devono connettersi da un VPC. Per limitare l'accesso a un VPC specifico, utilizzalo aws:SourceVpc con l'operatore delle StringEquals condizioni.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" } } } ] }
Nota
Questo esempio serve solo aws:SourceVpc a verificare le connessioni VPC. Le chiavi aws:VpcSourceIp e aws:SourceVpce condition forniscono una granularità aggiuntiva ma non sono necessarie per il controllo di accesso di base VPC-only .
Per fornire un'eccezione per ruoli specifici, utilizza invece questa politica:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessFromOutsideVPC", "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" }, "StringNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/ExceptionRole", "arn:aws:iam::123456789012:role/AnotherExceptionRole" ] } } } ] }
Limita l'accesso a AWS Organizzazione
Questa politica limita l'accesso ai responsabili all'interno di un' AWS organizzazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a", "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-exampleorgid" } } } ] }
Limita l'accesso a una specifica unità organizzativa
Questa politica limita l'accesso ai responsabili all'interno di una specifica unità organizzativa (OU) di un' AWS organizzazione, fornendo un controllo più granulare rispetto all'accesso a livello di organizzazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a", "Condition": { "StringNotLike": { "aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*" } } } ] }
Multi-Region politiche di cluster
Per i cluster multiregionali, ogni cluster regionale mantiene la propria politica delle risorse, che consente i Region-specific controlli. Ecco un esempio con politiche diverse per regione:
politica us-east-1:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-east1-id" }, "Null": { "aws:SourceVpc": "true" } } } ] }
politica us-east-2:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-east2-id" } } } ] }
Nota
Le chiavi del contesto delle condizioni possono variare tra Regioni AWS (come gli ID VPC).
