Políticas basadas en recursos para Aurora DSQL
Utilice políticas basadas en recursos para Aurora DSQL a fin de restringir o conceder el acceso a los clústeres mediante documentos de política JSON que se adjuntan directamente a los recursos del clúster. Estas políticas proporcionan un control detallado sobre quién puede acceder al clúster y en qué condiciones.
Se puede acceder a los clústeres de Aurora DSQL desde el Internet público de forma predeterminada, con la autenticación de IAM como control de seguridad principal. Las políticas basadas en recursos le permiten agregar restricciones de acceso, especialmente para bloquear el acceso desde el Internet público.
Las políticas basadas en recursos funcionan junto con políticas basadas en identidad de IAM. AWS evalúa ambos tipos de políticas para determinar los permisos finales para cualquier solicitud de acceso al clúster. De forma predeterminada, los clústeres de Aurora DSQL son accesibles dentro de una cuenta. Si un usuario o rol de IAM tiene permisos de Aurora DSQL, puede acceder a los clústeres sin una política basada en recursos adjunta.
nota
Con el tiempo, los cambios en las políticas basadas en los recursos son coherentes y, por lo general, se hacen efectivos en un minuto.
Para obtener más información sobre las diferencias entre las políticas basadas en identidad y las políticas basadas en recursos, consulte Políticas basadas en identidad y políticas basadas en recursos en la Guía del usuario de IAM.
Cuándo utilizar políticas basadas en recursos
Las políticas basadas en recursos son particularmente útiles en estos escenarios:
Control de acceso basado en la red: restrinja el acceso en función de la VPC o la dirección IP desde la que se originan las solicitudes o bloquee por completo el acceso público a Internet. Use claves de condición como
aws:SourceVpcyaws:SourceIppara controlar el acceso a la red.Varios equipos o aplicaciones: conceda acceso al mismo clúster para varios equipos o aplicaciones. En lugar de administrar las políticas de IAM individuales para cada entidad principal, se definen las reglas de acceso una vez en el clúster.
Acceso condicional complejo: controle el acceso en función de varios factores, como los atributos de la red, el contexto de la solicitud y los atributos del usuario. Puede combinar varias condiciones en una sola política.
Gobernanza de seguridad centralizada: permita a los propietarios de los clústeres controlar el acceso mediante una sintaxis de políticas de AWS familiar que se integre con las prácticas de seguridad actuales.
nota
Las políticas basadas en recursos de Aurora DSQL aún no admiten el acceso entre cuentas, pero estará disponible en futuras versiones.
Cuando alguien intenta conectarse al clúster de Aurora DSQL, AWS evalúa su política basada en recursos como parte del contexto de autorización, junto con cualquier política de IAM pertinente, para determinar si la solicitud se debe permitir o rechazar.
Las políticas basadas en recursos pueden conceder acceso a las entidades principales de la misma cuenta de AWS que el clúster. En el caso de los clústeres de varias regiones, cada clúster regional tiene su propia política basada en los recursos, lo que permite establecer controles de acceso específicos para cada región cuando sea necesario.
nota
Las claves de contexto de condición pueden variar entre regiones (como los ID de VPC).
Temas
