Ressourcenbasierte Richtlinien für Aurora DSQL - Amazon Aurora DSQL
Wann sollte dies verwendet werden?

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressourcenbasierte Richtlinien für Aurora DSQL

Verwenden Sie ressourcenbasierte Richtlinien für Aurora DSQL, um den Zugriff auf Ihre Cluster mithilfe von JSON-Richtliniendokumenten einzuschränken oder zu gewähren, die direkt mit Ihren Clusterressourcen verknüpft sind. Diese Richtlinien bieten eine detaillierte Kontrolle darüber, wer unter welchen Bedingungen auf Ihren Cluster zugreifen kann.

Aurora DSQL-Cluster sind standardmäßig über das öffentliche Internet zugänglich, wobei die IAM-Authentifizierung die primäre Sicherheitskontrolle ist. Mithilfe ressourcenbasierter Richtlinien können Sie Zugriffsbeschränkungen hinzufügen, insbesondere um den Zugriff über das öffentliche Internet zu blockieren.

Ressourcenbasierte Richtlinien arbeiten mit identitätsbasierten IAM-Richtlinien zusammen. AWS bewertet beide Arten von Richtlinien, um die endgültigen Berechtigungen für jede Zugriffsanfrage auf Ihren Cluster zu ermitteln. Standardmäßig sind Aurora DSQL-Cluster innerhalb eines Kontos zugänglich. Wenn ein IAM-Benutzer oder eine IAM-Rolle über Aurora DSQL-Berechtigungen verfügt, kann er auf Cluster zugreifen, ohne dass eine ressourcenbasierte Richtlinie angehängt ist.

Anmerkung

Änderungen an ressourcenbasierten Richtlinien sind letztlich konsistent und werden in der Regel innerhalb einer Minute wirksam.

Weitere Informationen zu den Unterschieden zwischen identitätsbasierten und ressourcenbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im IAM-Benutzerhandbuch.

Wann sollten ressourcenbasierte Richtlinien verwendet werden

Ressourcenbasierte Richtlinien sind in diesen Szenarien besonders nützlich:

  • Netzwerkbasierte Zugriffskontrolle — Beschränken Sie den Zugriff auf der Grundlage der VPC oder IP-Adresse, von der Anfragen stammen, oder blockieren Sie den öffentlichen Internetzugang vollständig. Verwenden Sie Bedingungsschlüssel wie aws:SourceVpc undaws:SourceIp, um den Netzwerkzugriff zu kontrollieren.

  • Mehrere Teams oder Anwendungen — Gewähren Sie mehreren Teams oder Anwendungen Zugriff auf denselben Cluster. Anstatt einzelne IAM-Richtlinien für jeden Prinzipal zu verwalten, definieren Sie Zugriffsregeln nur einmal im Cluster.

  • Komplexer bedingter Zugriff — Steuern Sie den Zugriff auf der Grundlage mehrerer Faktoren wie Netzwerkattributen, Anforderungskontext und Benutzerattributen. Sie können mehrere Bedingungen in einer einzigen Richtlinie kombinieren.

  • Zentralisierte Sicherheitssteuerung — Ermöglichen Sie es Cluster-Besitzern, den Zugriff mithilfe einer vertrauten AWS Richtliniensyntax zu kontrollieren, die sich in Ihre bestehenden Sicherheitspraktiken einfügt.

Anmerkung

Kontoübergreifender Zugriff wird für ressourcenbasierte Aurora DSQL-Richtlinien noch nicht unterstützt, wird aber in future Versionen verfügbar sein.

Wenn jemand versucht, eine Verbindung zu Ihrem Aurora DSQL-Cluster herzustellen, AWS bewertet Ihre ressourcenbasierte Richtlinie als Teil des Autorisierungskontextes zusammen mit allen relevanten IAM-Richtlinien, um festzustellen, ob die Anfrage zugelassen oder abgelehnt werden soll.

Ressourcenbasierte Richtlinien können Prinzipalen Zugriff gewähren, die sich innerhalb desselben Kontos wie der Cluster befinden. AWS Bei Clustern mit mehreren Regionen hat jeder regionale Cluster seine eigene ressourcenbasierte Richtlinie, die bei Bedarf regionsspezifische Zugriffskontrollen ermöglicht.

Anmerkung

Bedingungskontextschlüssel können je nach Region variieren (z. B. VPC IDs).

Topics