- Amazon Aurora

Izinkan pengguna untuk membuat instans DB di akun AWS Mengizinkan pengguna melakukan setiap tindakan yang dijelaskan pada sumber daya RDS Mengizinkan pengguna membuat instans DB yang menggunakan grup parameter DB dan grup subnet yang telah ditentukan Berikan izin untuk tindakan atas suatu sumber daya dengan tag tertentu dengan dua nilai yang berbeda Mencegah pengguna menghapus instans DB Menolak semua akses ke sumber daya

Bagian berikut menyajikan contoh kebijakan izin yang memberikan dan membatasi akses ke sumber daya:

Izinkan pengguna untuk membuat instans DB di akun AWS

Berikut ini adalah contoh kebijakan yang memungkinkan akun dengan ID 123456789012 untuk membuat instans DB untuk AWS akun Anda. Kebijakan ini mewajibkan nama instans DB baru dimulai dengan test. Instans DB yang baru juga harus menggunakan mesin basis data MySQL dan kelas instans DB db.t2.micro. Selain itu, instans DB baru harus menggunakan grup opsi dan grup parameter DB yang dimulai dengan default, dan harus menggunakan grup subnet default.

Kebijakan ini mencakup pernyataan tunggal yang menentukan izin berikut untuk pengguna:

Kebijakan ini memungkinkan akun untuk membuat instans DB menggunakan operasi Create DBInstance API (ini juga berlaku untuk create-db-instance AWS CLI perintah dan AWS Management Console).
Elemen Resource menentukan bahwa pengguna dapat melakukan tindakan pada atau dengan sumber daya. Anda menentukan sumber daya menggunakan Amazon Resource Name (ARN). ARN ini mencakup nama layanan yang dimiliki sumber daya (rds), AWS Wilayah (*menunjukkan wilayah mana pun dalam contoh ini), nomor AWS akun (123456789012adalah nomor akun dalam contoh ini), dan jenis sumber daya. Untuk informasi selengkapnya tentang membuat ARNs, lihatNama Sumber Daya Amazon (ARNs) di Amazon RDS.

Elemen Resource dalam contoh menentukan batasan kebijakan berikut pada sumber daya untuk pengguna:
- ID instans DB untuk instans DB baru harus dimulai dengan test (misalnya, testCustomerData1, test-region2-data).
- Grup opsi untuk instans DB baru harus dimulai dengan default.
- Grup parameter DB opsi untuk instans DB baru harus dimulai dengan default.
- Grup subnet untuk instans DB baru harus berupa grup subnet default.
Elemen Condition menentukan bahwa mesin DB harus berupa MySQL dan kelas instans DB harus berupa db.t2.micro. Elemen Condition menentukan kondisi ketika kebijakan harus diberlakukan. Anda dapat menambahkan izin atau batasan tambahan dengan menggunakan elemen Condition. Untuk informasi selengkapnya tentang cara menentukan kondisi, lihat Kunci kondisi kebijakan untuk Aurora. Contoh ini menetapkan kondisi rds:DatabaseEngine dan rds:DatabaseClass. Untuk informasi tentang nilai kondisi yang valid untukrds:DatabaseEngine, lihat daftar di bawah Engine parameter di Buat DBInstance. Untuk informasi tentang nilai kondisi yang valid untuk rds:DatabaseClass, Lihat Mesin DB yang didukung untuk kelas instans DB.

Kebijakan ini tidak menentukan elemen Principal karena dalam kebijakan berbasis identitas, Anda tidak menentukan pengguna utama yang mendapatkan izin. Saat Anda menyematkan kebijakan kepada pengguna, pengguna ini menjadi pengguna utama implisit. Saat Anda menyematkan kebijakan izin pada peran IAM, pengguna utama yang diidentifikasi dalam kebijakan kepercayaan peran tersebut akan mendapatkan izin.

Untuk melihat daftar tindakan Aurora, lihat Tindakan yang Ditentukan oleh Amazon RDS di Referensi Otorisasi Layanan.

Mengizinkan pengguna melakukan setiap tindakan yang dijelaskan pada sumber daya RDS

Kebijakan izin berikut memberikan izin kepada pengguna untuk menjalankan semua tindakan yang dimulai dengan Describe. Tindakan ini menunjukkan informasi tentang sumber daya RDS, seperti instans DB. Karakter wildcard (*) dalam elemen Resource menunjukkan bahwa tindakan diperbolehkan untuk semua sumber daya Amazon Aurora yang dimiliki akun tersebut.

Mengizinkan pengguna membuat instans DB yang menggunakan grup parameter DB dan grup subnet yang telah ditentukan

Kebijakan izin berikut memberikan izin untuk hanya memperbolehkan pengguna membuat instans DB yang harus menggunakan grup parameter DB mydbpg dan grup subnet DB mydbsubnetgroup.

Berikan izin untuk tindakan atas suatu sumber daya dengan tag tertentu dengan dua nilai yang berbeda

Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya Aurora berdasarkan tag. Kebijakan berikut memungkinkan izin untuk melakukan operasi CreateDBSnapshot API pada instans DB dengan tag stage diatur ke development atau test.

Kebijakan berikut memungkinkan izin untuk melakukan operasi ModifyDBInstance API pada instans DB dengan tag stage diatur ke development atau test.

Mencegah pengguna menghapus instans DB

Kebijakan izin berikut memberikan izin untuk mencegah pengguna menghapus instans DB tertentu. Misalnya, Anda mungkin ingin menolak kemampuan untuk menghapus instans DB produksi Anda kepada setiap pengguna yang bukan administrator.

Menolak semua akses ke sumber daya

Anda juga dapat secara eksplisit menolak akses ke sumber daya. Kebijakan penolakan lebih diutamakan daripada kebijakan yang diizinkan. Kebijakan berikut secara eksplisit menolak kemampuan pengguna untuk mengelola sumber daya:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh kebijakan berbasis identitas

Contoh Kebijakan: Menggunakan kunci kondisi