

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Resource-based politiques pour Aurora DSQL
<a name="resource-based-policies"></a>

Utilisez des politiques basées sur les ressources pour Aurora DSQL afin de restreindre ou d'accorder l'accès à vos clusters par le biais de documents de politique JSON directement associés aux ressources de votre cluster. Ces politiques fournissent un contrôle précis sur les personnes autorisées à accéder à votre cluster et dans quelles conditions.

Les clusters Aurora DSQL sont accessibles depuis l'Internet public par défaut, l'authentification IAM étant le principal contrôle de sécurité. Resource-based les politiques vous permettent d'ajouter des restrictions d'accès, notamment pour bloquer l'accès depuis l'Internet public.

Resource-based les politiques fonctionnent parallèlement aux politiques basées sur l'identité IAM. AWS évalue les deux types de politiques afin de déterminer les autorisations finales pour toute demande d'accès à votre cluster. Par défaut, les clusters Aurora DSQL sont accessibles au sein d'un compte. Si un utilisateur ou un rôle IAM dispose d'autorisations Aurora DSQL, il peut accéder aux clusters sans qu'aucune politique basée sur les ressources ne soit attachée.

**Note**  
Les modifications apportées aux politiques basées sur les ressources sont finalement cohérentes et prennent généralement effet en une minute.

*Pour plus d'informations sur les différences entre les politiques basées sur l'identité et les politiques basées sur les ressources, consultez la section Politiques [et Identity-based politiques basées sur les ressources dans le Guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).*

**Avertissement**  
L'utilisateur Compte AWS root du compte propriétaire du cluster conserve toujours un accès complet à ses propres ressources, quelles que soient les conditions de politique basées sur les ressources, y compris les restrictions relatives aux sources VPC. Resource-based les politiques ne limitent pas l'accès de l'utilisateur root. Pour limiter l'accès des utilisateurs root à vos clusters, utilisez des politiques basées sur l'identité IAM ou évitez d'utiliser les informations d'identification root pour les connexions aux bases de données. Pour plus d'informations, consultez [la section Meilleures pratiques pour les utilisateurs root pour votre Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html).

## Quand utiliser des politiques basées sur les ressources
<a name="rbp-when-to-use"></a>

Resource-based les politiques sont particulièrement utiles dans les scénarios suivants :
+ *Network-based contrôle d'accès* : limitez l'accès en fonction du VPC ou de l'adresse IP d'où proviennent les demandes, ou bloquez complètement l'accès public à Internet. Utilisez des clés de condition telles que `aws:SourceVpc` et `aws:SourceIp` pour contrôler l'accès au réseau.
+ *Plusieurs équipes ou applications* : accordez l'accès au même cluster à plusieurs équipes ou applications. Plutôt que de gérer des politiques IAM individuelles pour chaque principal, vous définissez les règles d'accès une fois sur le cluster.
+ *Accès conditionnel complexe* : contrôlez l'accès en fonction de plusieurs facteurs tels que les attributs réseau, le contexte de la demande et les attributs utilisateur. Vous pouvez combiner plusieurs conditions dans une seule politique.
+ *Gouvernance de sécurité centralisée* : permettez aux propriétaires de clusters de contrôler l'accès à l'aide d'une syntaxe de AWS politique familière qui s'intègre à vos pratiques de sécurité existantes.

**Note**  
Cross-account l'accès n'est pas encore pris en charge pour les politiques basées sur les ressources Aurora DSQL, mais il sera disponible dans les futures versions.

Lorsque quelqu'un essaie de se connecter à votre cluster Aurora DSQL, il AWS évalue votre politique basée sur les ressources dans le cadre du contexte d'autorisation, ainsi que toutes les politiques IAM pertinentes, afin de déterminer si la demande doit être autorisée ou rejetée.

Resource-based les politiques peuvent accorder l'accès aux principaux au sein du même AWS compte que le cluster. Pour les clusters multirégionaux, chaque cluster régional possède sa propre politique basée sur les ressources, qui permet de contrôler l' Region-specific accès en cas de besoin.

**Note**  
Les clés contextuelles des conditions peuvent varier d'une région à l'autre (par exemple, les identifiants VPC).

**Topics**
+ [Utilisation](#rbp-when-to-use)
+ [Créez avec des politiques](rbp-create-cluster.md)
+ [Ajouter et modifier des politiques](rbp-attach-policy.md)
+ [Afficher la politique](rbp-view-policy.md)
+ [Supprimer la politique](rbp-remove-policy.md)
+ [Exemples de politiques](rbp-examples.md)
+ [Blocage de l'accès public](rbp-block-public-access.md)
+ [Opérations d’API](rbp-api-operations.md)