Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis sumber daya umum
Contoh-contoh ini menunjukkan pola umum untuk mengontrol akses ke cluster Aurora DSQL Anda. Anda dapat menggabungkan dan memodifikasi pola-pola ini untuk memenuhi persyaratan akses spesifik Anda.
Blokir akses internet publik
Kebijakan ini memblokir koneksi ke klaster Aurora DSQL Anda dari internet publik (non-VPC). Kebijakan ini tidak menentukan dari mana pelanggan VPC dapat terhubung—hanya saja mereka harus terhubung dari VPC. Untuk membatasi akses ke VPC tertentu, gunakan aws:SourceVpc dengan operator StringEquals kondisi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" } } } ] }
catatan
Contoh ini hanya digunakan aws:SourceVpc untuk memeriksa koneksi VPC. Kunci aws:VpcSourceIp dan aws:SourceVpce kondisi memberikan perincian tambahan tetapi tidak diperlukan untuk kontrol akses khusus VPC dasar.
Untuk memberikan pengecualian untuk peran tertentu, gunakan kebijakan ini sebagai gantinya:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessFromOutsideVPC", "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" }, "StringNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/ExceptionRole", "arn:aws:iam::123456789012:role/AnotherExceptionRole" ] } } } ] }
Membatasi akses ke Organisasi AWS
Kebijakan ini membatasi akses ke prinsipal dalam Organisasi: AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-exampleorgid" } } } ] }
Membatasi akses ke Unit Organisasi tertentu
Kebijakan ini membatasi akses ke kepala sekolah dalam Unit Organisasi (OU) tertentu dalam suatu Organisasi, memberikan kontrol yang lebih terperinci daripada akses di seluruh AWS organisasi:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotLike": { "aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*" } } } ] }
Kebijakan klaster Multi-Wilayah
Untuk klaster Multi-region, setiap kluster regional mempertahankan kebijakan sumber dayanya sendiri, memungkinkan kontrol khusus Wilayah. Berikut adalah contoh dengan kebijakan berbeda per wilayah:
kebijakan us-east-1:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-east1-id" }, "Null": { "aws:SourceVpc": "true" } } } ] }
kebijakan us-east-2:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-east2-id" } } } ] }
catatan
Kunci konteks kondisi dapat bervariasi antara Wilayah AWS (seperti VPC IDs).
