Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques communes basées sur les ressources
Ces exemples présentent des modèles courants de contrôle de l'accès à vos clusters Aurora DSQL. Vous pouvez combiner et modifier ces modèles pour répondre à vos besoins d'accès spécifiques.
Bloquer l'accès public à Internet
Cette politique bloque les connexions à vos clusters Aurora DSQL depuis l'Internet public (non VPC). La politique ne précise pas à partir de quel VPC les clients peuvent se connecter, mais seulement qu'ils doivent se connecter à partir d'un VPC. Pour limiter l'accès à un VPC spécifique, utilisez-le aws:SourceVpc avec l'opérateur de StringEquals condition.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" } } } ] }
Note
Cet exemple est utilisé uniquement aws:SourceVpc pour vérifier les connexions VPC. Les touches de aws:SourceVpce condition aws:VpcSourceIp et fournissent une granularité supplémentaire mais ne sont pas requises pour le contrôle VPC-only d'accès de base.
Pour fournir une exception pour des rôles spécifiques, utilisez plutôt cette politique :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessFromOutsideVPC", "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" }, "StringNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/ExceptionRole", "arn:aws:iam::123456789012:role/AnotherExceptionRole" ] } } } ] }
Restreindre l'accès à AWS Organisation
Cette politique restreint l'accès aux principaux au sein d'une AWS organisation :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a", "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-exampleorgid" } } } ] }
Restreindre l'accès à une unité organisationnelle spécifique
Cette politique restreint l'accès aux principaux au sein d'une unité organisationnelle (UO) spécifique d'une AWS organisation, offrant ainsi un contrôle plus précis que l'accès à l'échelle de l'organisation :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a", "Condition": { "StringNotLike": { "aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*" } } } ] }
Multi-Region politiques de cluster
Pour les clusters multirégionaux, chaque cluster régional applique sa propre politique de ressources, ce qui permet des Region-specific contrôles. Voici un exemple de politiques différentes par région :
Politique us-east-1 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-east1-id" }, "Null": { "aws:SourceVpc": "true" } } } ] }
Politique us-east-2 :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-east2-id" } } } ] }
Note
Les clés de contexte des conditions peuvent varier entre elles Régions AWS (par exemple, les identifiants VPC).
