Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Resource-based politiche per Aurora SQL
Utilizza le policy basate sulle risorse per Aurora DSQL per limitare o concedere l'accesso ai cluster tramite documenti di policy JSON che si allegano direttamente alle risorse del cluster. Queste policy forniscono un controllo dettagliato su chi può accedere al cluster e in quali condizioni.
I cluster Aurora DSQL sono accessibili dalla rete Internet pubblica per impostazione predefinita, con l'autenticazione IAM come controllo di sicurezza principale. Resource-based le politiche consentono di aggiungere restrizioni di accesso, in particolare per bloccare l'accesso dalla rete Internet pubblica.
Resource-based le politiche funzionano insieme alle politiche basate sull'identità IAM. AWS valuta entrambi i tipi di policy per determinare le autorizzazioni finali per qualsiasi richiesta di accesso al cluster. Per impostazione predefinita, i cluster Aurora DSQL sono accessibili all'interno di un account. Se un utente o un ruolo IAM dispone delle autorizzazioni Aurora DSQL, può accedere ai cluster senza alcuna policy basata sulle risorse allegata.
Nota
Le modifiche alle policy basate sulle risorse alla fine sono coerenti e in genere entrano in vigore entro un minuto.
avvertimento
L'utente Account AWS root dell'account proprietario del cluster mantiene sempre l'accesso completo alle proprie risorse, indipendentemente dalle condizioni delle politiche basate sulle risorse, incluse le restrizioni relative all'origine VPC. Resource-based le politiche non limitano l'accesso per l'utente root. Per limitare l'accesso degli utenti root ai tuoi cluster, utilizza le policy basate sull'identità IAM o evita di utilizzare le credenziali root per le connessioni al database. Per ulteriori informazioni, consulta le migliori pratiche per gli utenti Root per il tuo. Account AWS
Quando utilizzare politiche basate sulle risorse
Resource-based le politiche sono particolarmente utili in questi scenari:
Network-based controllo degli accessi: limita l'accesso in base al VPC o all'indirizzo IP da cui provengono le richieste o blocca completamente l'accesso pubblico a Internet. Usa chiavi condizionali come
aws:SourceVpceaws:SourceIpper controllare l'accesso alla rete.Più team o applicazioni: concedi l'accesso allo stesso cluster a più team o applicazioni. Anziché gestire le singole policy IAM per ogni principale, definisci le regole di accesso una sola volta nel cluster.
Accesso condizionale complesso: controlla l'accesso in base a più fattori come gli attributi di rete, il contesto della richiesta e gli attributi utente. È possibile combinare più condizioni in un'unica politica.
Governance della sicurezza centralizzata: consenti ai proprietari dei cluster di controllare l'accesso utilizzando una sintassi delle AWS policy familiare che si integra con le pratiche di sicurezza esistenti.
Nota
Cross-account access non è ancora supportato per le policy basate sulle risorse di Aurora DSQL, ma sarà disponibile nelle versioni future.
Quando qualcuno tenta di connettersi al cluster Aurora DSQL, AWS valuta la policy basata sulle risorse come parte del contesto di autorizzazione, insieme a qualsiasi policy IAM pertinente, per determinare se la richiesta deve essere consentita o rifiutata.
Resource-based le politiche possono concedere l'accesso ai principali all'interno dello stesso account del cluster. AWS Per i cluster multiregionali, ogni cluster regionale dispone di una propria politica basata sulle risorse, che consente il controllo degli accessi quando necessario. Region-specific
Nota
Le chiavi del contesto delle condizioni possono variare tra le regioni (come gli ID VPC).
Argomenti
