Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques communes basées sur les ressources
Ces exemples présentent des modèles courants de contrôle de l'accès à vos clusters Aurora DSQL. Vous pouvez combiner et modifier ces modèles pour répondre à vos besoins d'accès spécifiques.
Bloquer l'accès public à Internet
Cette politique bloque les connexions à vos clusters Aurora DSQL depuis l'Internet public (non VPC). La politique ne précise pas à partir de quel VPC les clients peuvent se connecter, mais seulement qu'ils doivent se connecter à partir d'un VPC. Pour limiter l'accès à un VPC spécifique, utilisez-le aws:SourceVpc avec l'opérateur de StringEquals condition.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" } } } ] }
Note
Cet exemple est utilisé uniquement aws:SourceVpc pour vérifier les connexions VPC. Les touches de aws:SourceVpce condition aws:VpcSourceIp et fournissent une granularité supplémentaire mais ne sont pas requises pour le contrôle d'accès de base réservé aux VPC.
Pour fournir une exception pour des rôles spécifiques, utilisez plutôt cette politique :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessFromOutsideVPC", "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" }, "StringNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/ExceptionRole", "arn:aws:iam::123456789012:role/AnotherExceptionRole" ] } } } ] }
Restreindre l'accès à AWS l'organisation
Cette politique restreint l'accès aux principaux au sein d'une AWS organisation :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-exampleorgid" } } } ] }
Restreindre l'accès à une unité organisationnelle spécifique
Cette politique restreint l'accès aux principaux au sein d'une unité organisationnelle (UO) spécifique d'une AWS organisation, offrant ainsi un contrôle plus précis que l'accès à l'échelle de l'organisation :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotLike": { "aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*" } } } ] }
Politiques relatives aux clusters multirégionaux
Pour les clusters multirégionaux, chaque cluster régional maintient sa propre politique de ressources, ce qui permet des contrôles spécifiques à la région. Voici un exemple de politiques différentes par région :
Politique us-east-1 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-east1-id" }, "Null": { "aws:SourceVpc": "true" } } } ] }
Politique us-east-2 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-east2-id" } } } ] }
Note
Les clés de contexte des conditions peuvent varier entre Régions AWS elles (par exemple, VPC IDs).
