Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Allgemeine Beispiele für ressourcenbasierte Richtlinien
Diese Beispiele zeigen gängige Muster für die Steuerung des Zugriffs auf Ihre Aurora DSQL-Cluster. Sie können diese Muster kombinieren und ändern, um Ihre spezifischen Zugriffsanforderungen zu erfüllen.
Sperren Sie den öffentlichen Internetzugang
Diese Richtlinie blockiert Verbindungen zu Ihren Aurora DSQL-Clustern aus dem öffentlichen Internet (ohne VPC). Die Richtlinie legt nicht fest, von welcher VPC Kunden eine Verbindung herstellen können, sondern nur, dass sie sich von einer VPC aus verbinden müssen. Um den Zugriff auf eine bestimmte VPC zu beschränken, verwenden Sie ihn aws:SourceVpc zusammen mit dem StringEquals Bedingungsoperator.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" } } } ] }
Anmerkung
In diesem Beispiel wird nur aws:SourceVpc nach VPC-Verbindungen gesucht. Die Schlüssel aws:VpcSourceIp und die aws:SourceVpce Bedingungsschlüssel bieten zusätzliche Granularität, sind jedoch für die grundlegende reine VPC-Zugriffskontrolle nicht erforderlich.
Verwenden Sie stattdessen diese Richtlinie, um eine Ausnahme für bestimmte Rollen bereitzustellen:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessFromOutsideVPC", "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" }, "StringNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/ExceptionRole", "arn:aws:iam::123456789012:role/AnotherExceptionRole" ] } } } ] }
Beschränken Sie den Zugriff auf die AWS Organisation
Diese Richtlinie schränkt den Zugriff auf Prinzipale innerhalb einer Organisation ein AWS :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-exampleorgid" } } } ] }
Beschränken Sie den Zugriff auf eine bestimmte Organisationseinheit
Diese Richtlinie beschränkt den Zugriff auf Prinzipale innerhalb einer bestimmten Organisationseinheit (OU) in einer AWS Organisation und bietet so eine detailliertere Kontrolle als der organisationsweite Zugriff:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotLike": { "aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*" } } } ] }
Clusterrichtlinien für mehrere Regionen
Bei Clustern mit mehreren Regionen unterhält jeder regionale Cluster seine eigene Ressourcenpolitik, die regionsspezifische Kontrollen ermöglicht. Hier ist ein Beispiel mit unterschiedlichen Richtlinien pro Region:
US-Ost-1-Politik:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-east1-id" }, "Null": { "aws:SourceVpc": "true" } } } ] }
US-Ost-2-Politik:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-east2-id" } } } ] }
Anmerkung
Die Schlüssel für den Bedingungskontext können zwischen diesen variieren AWS-Regionen (z. B. VPC IDs).
