Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques basées sur les ressources pour Aurora DSQL
Utilisez des politiques basées sur les ressources pour Aurora DSQL afin de restreindre ou d'accorder l'accès à vos clusters par le biais de documents de politique JSON directement associés aux ressources de votre cluster. Ces politiques fournissent un contrôle précis sur les personnes autorisées à accéder à votre cluster et dans quelles conditions.
Les clusters Aurora DSQL sont accessibles depuis l'Internet public par défaut, l'authentification IAM étant le principal contrôle de sécurité. Les politiques basées sur les ressources vous permettent d'ajouter des restrictions d'accès, notamment pour bloquer l'accès depuis l'Internet public.
Les politiques basées sur les ressources fonctionnent parallèlement aux politiques basées sur l'identité IAM. AWS évalue les deux types de politiques afin de déterminer les autorisations finales pour toute demande d'accès à votre cluster. Par défaut, les clusters Aurora DSQL sont accessibles au sein d'un compte. Si un utilisateur ou un rôle IAM dispose d'autorisations Aurora DSQL, il peut accéder aux clusters sans qu'aucune politique basée sur les ressources ne soit attachée.
Note
Les modifications apportées aux politiques basées sur les ressources sont finalement cohérentes et prennent généralement effet en une minute.
Pour plus d'informations sur les différences entre les politiques basées sur l'identité et les politiques basées sur les ressources, voir Politiques basées sur l'identité et politiques basées sur les ressources dans le guide de l'utilisateur IAM.
Quand utiliser des politiques basées sur les ressources
Les politiques basées sur les ressources sont particulièrement utiles dans les scénarios suivants :
Contrôle d'accès basé sur le réseau : limitez l'accès en fonction du VPC ou de l'adresse IP d'où proviennent les demandes, ou bloquez complètement l'accès public à Internet. Utilisez des clés de condition telles que
aws:SourceVpcetaws:SourceIppour contrôler l'accès au réseau.Plusieurs équipes ou applications : accordez l'accès au même cluster à plusieurs équipes ou applications. Plutôt que de gérer des politiques IAM individuelles pour chaque principal, vous définissez les règles d'accès une fois sur le cluster.
Accès conditionnel complexe : contrôlez l'accès en fonction de plusieurs facteurs tels que les attributs réseau, le contexte de la demande et les attributs utilisateur. Vous pouvez combiner plusieurs conditions dans une seule politique.
Gouvernance de sécurité centralisée : permettez aux propriétaires de clusters de contrôler l'accès à l'aide d'une syntaxe de AWS politique familière qui s'intègre à vos pratiques de sécurité existantes.
Note
L'accès entre comptes n'est pas encore pris en charge pour les politiques basées sur les ressources Aurora DSQL, mais il sera disponible dans les futures versions.
Lorsque quelqu'un essaie de se connecter à votre cluster Aurora DSQL, il AWS évalue votre politique basée sur les ressources dans le cadre du contexte d'autorisation, ainsi que les politiques IAM pertinentes, afin de déterminer si la demande doit être autorisée ou rejetée.
Les politiques basées sur les ressources peuvent accorder l'accès aux principaux au sein du même AWS compte que le cluster. Pour les clusters multirégionaux, chaque cluster régional possède sa propre politique basée sur les ressources, permettant des contrôles d'accès spécifiques à la région en cas de besoin.
Note
Les clés de contexte des conditions peuvent varier d'une région à l'autre (par exemple, VPC IDs).
Rubriques
