Verwenden von IAM-Bedingungsschlüsseln mit Amazon Aurora DSQL - Amazon Aurora DSQL
Erstellen Sie einen Cluster in einer bestimmten RegionEinen multiregionalen Cluster in bestimmten Regionen erstellenEinen Cluster mit mehreren Regionen mit einer bestimmten Witness-Region erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von IAM-Bedingungsschlüsseln mit Amazon Aurora DSQL

Wenn Sie in Aurora DSQL Berechtigungen gewähren, können Sie Bedingungen angeben, die bestimmen, wie eine Berechtigungsrichtlinie wirksam wird. Im Folgenden finden Sie Beispiele für die Verwendung von Bedingungsschlüsseln in den IAM-Berechtigungsrichtlinien.

Beispiel 1: Erteilen Sie die Berechtigung zum Erstellen eines Clusters in einem bestimmten AWS-Region

Die folgende Richtlinie erteilt die Genehmigung zum Erstellen von Clustern in den Regionen USA Ost (Nord-Virginia) und USA Ost (Ohio). Diese Richtlinie verwendet den Ressourcen-ARN, um die zulässigen Regionen zu begrenzen, sodass Aurora DSQL nur Cluster erstellen kann, wenn dieser ARN im Resource-Abschnitt der Richtlinie angegeben ist.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["dsql:CreateCluster"], 
            "Resource": [
                "arn:aws:dsql:us-east-1:*:cluster/*",
                "arn:aws:dsql:us-east-2:*:cluster/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Beispiel 2: Erteilen Sie die Erlaubnis, einen Cluster mit mehreren Regionen in bestimmten AWS-Region s zu erstellen

Die folgende Richtlinie erteilt die Genehmigung zum Erstellen von Clustern mit mehreren Regionen in den Regionen USA Ost (Nord-Virginia) und USA Ost (Ohio). Diese Richtlinie verwendet den Ressourcen-ARN, um die zulässigen Regionen einzugrenzen, sodass Aurora DSQL Cluster mit mehreren Regionen nur dann erstellen kann, wenn dieser ARN im Resource-Abschnitt der Richtlinie angegeben ist. Beachten Sie, dass für die Erstellung von Clustern mit mehreren Regionen auch die Berechtigungen AddPeerCluster, PutMultiRegionProperties und PutWitnessRegion und in den angegebenen Region erforderlich sind.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "dsql:CreateCluster",
          "dsql:PutMultiRegionProperties",
          "dsql:PutWitnessRegion",
          "dsql:AddPeerCluster"
        ],
        "Resource": [
           "arn:aws:dsql:us-east-1:123456789012:cluster/*",
           "arn:aws:dsql:us-east-2:123456789012:cluster/*"
        ]
      }
    ]
}

Beispiel 3: Erteilen der Berechtigung zum Erstellen eines Clusters mit mehreren Regionen mit einer bestimmten Witness-Region

Die folgende Richtlinie verwendet einen Aurora DSQL-dsql:WitnessRegion-Bedingungsschlüssel und ermöglicht dem Benutzer, Cluster mit mehreren Regionen mit einer Witness-Region in USA West (Oregon) zu erstellen. Wenn Sie die dsql:WitnessRegion-Bedingung nicht angeben, können Sie eine beliebige Region als Witness-Region verwenden.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dsql:CreateCluster",
                "dsql:PutMultiRegionProperties",
                "dsql:AddPeerCluster"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dsql:PutWitnessRegion"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*",
            "Condition": {
                "StringEquals": {
                    "dsql:WitnessRegion": [
                        "us-west-2"
                    ]
                }
            }
        }
    ]
}