Utilisation des clés de condition IAM avec Amazon Aurora DSQL - Amazon Aurora DSQL
Création d’un cluster dans une région spécifiqueCréation d’un cluster multi-régions dans des régions spécifiquesCréation d’un cluster multi-régions avec une région témoin spécifique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des clés de condition IAM avec Amazon Aurora DSQL

Lorsque vous accordez des autorisations dans Aurora DSQL, vous pouvez spécifier des conditions pour déterminer comment une politique d’autorisation doit prendre effet. Les exemples suivants montrent comment vous pouvez utiliser des clés de condition dans les politiques d’autorisation Aurora DSQL.

Exemple 1 : accorder l'autorisation de créer un cluster dans un environnement spécifique Région AWS

La politique suivante accorde l’autorisation de créer des clusters dans les régions USA Est (Virginie du Nord) et USA Est (Ohio). Cette politique utilise l’ARN de la ressource pour limiter les régions autorisées. Aurora DSQL ne peut donc créer des clusters que si cet ARN est spécifié dans la section Resource de la politique.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["dsql:CreateCluster"], 
            "Resource": [
                "arn:aws:dsql:us-east-1:*:cluster/*",
                "arn:aws:dsql:us-east-2:*:cluster/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Exemple 2 : accorder l'autorisation de créer un cluster multirégional dans des domaines spécifiques Région AWS

La politique suivante accorde l’autorisation de créer des clusters multi-régions dans les régions USA Est (Virginie du Nord) et USA Est (Ohio). Cette politique utilise l’ARN de la ressource pour limiter les régions autorisées. Aurora DSQL ne peut donc créer des clusters multi-régions que si cet ARN est spécifié dans la section Resource de la politique. Notez que la création de clusters multi-régions nécessite également les autorisations PutMultiRegionProperties, PutWitnessRegion et AddPeerCluster dans chaque région spécifiée.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "dsql:CreateCluster",
          "dsql:PutMultiRegionProperties",
          "dsql:PutWitnessRegion",
          "dsql:AddPeerCluster"
        ],
        "Resource": [
           "arn:aws:dsql:us-east-1:123456789012:cluster/*",
           "arn:aws:dsql:us-east-2:123456789012:cluster/*"
        ]
      }
    ]
}

Exemple 3 : accorder l’autorisation de créer un cluster multi-régions dans une région témoin spécifique

La politique suivante utilise une clé de condition dsql:WitnessRegion Aurora DSQL et permet à un utilisateur de créer des clusters multi-régions avec une région témoin dans la région USA Ouest (Oregon). Si vous ne spécifiez pas la condition dsql:WitnessRegion, vous pouvez utiliser n’importe quelle région comme région témoin.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dsql:CreateCluster",
                "dsql:PutMultiRegionProperties",
                "dsql:AddPeerCluster"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dsql:PutWitnessRegion"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*",
            "Condition": {
                "StringEquals": {
                    "dsql:WitnessRegion": [
                        "us-west-2"
                    ]
                }
            }
        }
    ]
}