Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan berbasis sumber daya untuk Aurora DSQL
Gunakan kebijakan berbasis sumber daya untuk Aurora DSQL untuk membatasi atau memberikan akses ke klaster Anda melalui dokumen kebijakan JSON yang dilampirkan langsung ke sumber daya klaster Anda. Kebijakan ini memberikan kontrol halus atas siapa yang dapat mengakses klaster Anda dan dalam kondisi apa.
Cluster Aurora DSQL dapat diakses dari internet publik secara default, dengan otentikasi IAM sebagai kontrol keamanan utama. Kebijakan berbasis sumber daya memungkinkan Anda menambahkan batasan akses, terutama untuk memblokir akses dari internet publik.
Kebijakan berbasis sumber daya bekerja bersama kebijakan berbasis identitas IAM. AWS mengevaluasi kedua jenis kebijakan untuk menentukan izin akhir untuk setiap permintaan akses ke klaster Anda. Secara default, cluster Aurora DSQL dapat diakses dalam akun. Jika pengguna atau peran IAM memiliki izin Aurora DSQL, mereka dapat mengakses kluster tanpa kebijakan berbasis sumber daya yang dilampirkan.
catatan
Perubahan kebijakan berbasis sumber daya pada akhirnya konsisten dan biasanya berlaku dalam satu menit.
Untuk informasi selengkapnya tentang perbedaan antara kebijakan berbasis identitas dan berbasis sumber daya, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya di Panduan Pengguna IAM.
Kapan menggunakan kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya sangat berguna dalam skenario ini:
Kontrol akses berbasis jaringan — Batasi akses berdasarkan VPC atau alamat IP tempat permintaan berasal, atau blokir akses internet publik sepenuhnya. Gunakan tombol kondisi seperti
aws:SourceVpcdanaws:SourceIpuntuk mengontrol akses jaringan.Beberapa tim atau aplikasi — Berikan akses ke klaster yang sama untuk beberapa tim atau aplikasi. Daripada mengelola kebijakan IAM individual untuk setiap prinsipal, Anda menentukan aturan akses sekali di klaster.
Akses bersyarat kompleks — Kontrol akses berdasarkan beberapa faktor seperti atribut jaringan, konteks permintaan, dan atribut pengguna. Anda dapat menggabungkan beberapa kondisi dalam satu kebijakan.
Tata kelola keamanan terpusat — Aktifkan pemilik klaster untuk mengontrol akses menggunakan sintaks AWS kebijakan yang sudah dikenal yang terintegrasi dengan praktik keamanan Anda yang ada.
catatan
Akses lintas akun belum didukung untuk kebijakan berbasis sumber daya Aurora DSQL tetapi akan tersedia di rilis mendatang.
Ketika seseorang mencoba terhubung ke klaster Aurora DSQL Anda, AWS evaluasi kebijakan berbasis sumber daya Anda sebagai bagian dari konteks otorisasi, bersama dengan kebijakan IAM yang relevan, untuk menentukan apakah permintaan tersebut harus diizinkan atau ditolak.
Kebijakan berbasis sumber daya dapat memberikan akses ke prinsipal dalam akun yang sama dengan klaster. AWS Untuk klaster Multi-region, setiap kluster regional memiliki kebijakan berbasis sumber dayanya sendiri, yang memungkinkan kontrol akses khusus Wilayah bila diperlukan.
catatan
Kunci konteks kondisi dapat bervariasi antar Wilayah (seperti VPC IDs).
Topik
