# Exemplos de políticas baseadas em recursos comuns
Estes exemplos mostram padrões comuns para controlar o acesso aos seus clusters do Aurora DSQL. Você pode combinar e modificar esses padrões para atender aos seus requisitos específicos de acesso.
## Bloqueio de acesso à internet pública
Essa política bloqueia conexões com seus clusters do Aurora DSQL pela Internet pública (não VPC). A política não especifica de qual VPC os clientes podem se conectar, apenas que eles devem se conectar por meio de uma VPC. Para limitar o acesso a uma VPC específica, use `aws:SourceVpc` com o operador de condição `StringEquals`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Condition": {
"Null": {
"aws:SourceVpc": "true"
}
}
}
]
}
```
**nota**
Este exemplo usa somente `aws:SourceVpc` para conferir as conexões de VPC. As chaves de condição `aws:VpcSourceIp` e `aws:SourceVpce` fornecem granularidade adicional, mas não são necessárias para o controle de acesso básico somente de VPC.
Para abrir uma exceção para funções específicas, em vez disso, use esta política:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAccessFromOutsideVPC",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Condition": {
"Null": {
"aws:SourceVpc": "true"
},
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::123456789012:role/ExceptionRole",
"arn:aws:iam::123456789012:role/AnotherExceptionRole"
]
}
}
}
]
}
```
## Restringir o acesso à organização da AWS
Essa política restringe o acesso às entidades principais em uma organização da AWS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a",
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgID": "o-exampleorgid"
}
}
}
]
}
```
## Restringir acesso a uma unidade organizacional específica
Essa política restringe o acesso às entidades principais em uma unidade organizacional (UO) específica em uma organização da AWS, oferecendo um controle mais detalhado do que o acesso em toda a organização:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"dsql:DbConnect"
],
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a",
"Condition": {
"StringNotLike": {
"aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*"
}
}
}
]
}
```
## Políticas para clusters multirregionais
Em relação a clusters multirregionais, cada cluster regional mantém a própria política de recursos, permitindo controles de acesso específicos da região. Veja um exemplo com diferentes políticas por região:
*política us-east:*
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-east1-id"
},
"Null": {
"aws:SourceVpc": "true"
}
}
}
]
}
```
*política us-east:*
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect"
],
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-east2-id"
}
}
}
]
}
```
**nota**
As chaves de contexto de condição podem variar entre Regiões da AWS (como IDs de VPC).