Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Resource-based kebijakan untuk Aurora DSQL
Gunakan kebijakan berbasis sumber daya untuk Aurora DSQL untuk membatasi atau memberikan akses ke klaster Anda melalui dokumen kebijakan JSON yang dilampirkan langsung ke sumber daya klaster Anda. Kebijakan ini memberikan kontrol halus atas siapa yang dapat mengakses klaster Anda dan dalam kondisi apa.
Cluster Aurora DSQL dapat diakses dari internet publik secara default, dengan otentikasi IAM sebagai kontrol keamanan utama. Resource-based Kebijakan memungkinkan Anda untuk menambahkan pembatasan akses, terutama untuk memblokir akses dari internet publik.
Resource-based kebijakan bekerja bersama kebijakan berbasis identitas IAM. AWS mengevaluasi kedua jenis kebijakan untuk menentukan izin akhir untuk setiap permintaan akses ke klaster Anda. Secara default, cluster Aurora DSQL dapat diakses dalam akun. Jika pengguna atau peran IAM memiliki izin Aurora DSQL, mereka dapat mengakses kluster tanpa kebijakan berbasis sumber daya yang dilampirkan.
catatan
Perubahan kebijakan berbasis sumber daya pada akhirnya konsisten dan biasanya berlaku dalam satu menit.
Untuk informasi selengkapnya tentang perbedaan antara kebijakan berbasis identitas dan berbasis sumber daya, lihat kebijakan dan kebijakan berbasis sumber daya di Panduan Identity-based Pengguna IAM.
Awas
Pengguna Akun AWS root akun yang memiliki cluster selalu mempertahankan akses penuh ke sumber dayanya sendiri, terlepas dari kondisi kebijakan berbasis sumber daya, termasuk pembatasan sumber VPC. Resource-based kebijakan tidak membatasi akses untuk pengguna root. Untuk membatasi akses pengguna root ke kluster Anda, gunakan kebijakan berbasis identitas IAM atau hindari penggunaan kredenal root untuk koneksi database. Untuk informasi selengkapnya, lihat Praktik terbaik pengguna Root untuk Anda Akun AWS.
Kapan menggunakan kebijakan berbasis sumber daya
Resource-based kebijakan sangat berguna dalam skenario ini:
Network-based kontrol akses — Batasi akses berdasarkan VPC atau alamat IP yang meminta berasal dari, atau memblokir akses internet publik sepenuhnya. Gunakan tombol kondisi seperti
aws:SourceVpcdanaws:SourceIpuntuk mengontrol akses jaringan.Beberapa tim atau aplikasi — Berikan akses ke klaster yang sama untuk beberapa tim atau aplikasi. Daripada mengelola kebijakan IAM individual untuk setiap prinsipal, Anda menentukan aturan akses sekali di klaster.
Akses bersyarat kompleks — Kontrol akses berdasarkan beberapa faktor seperti atribut jaringan, konteks permintaan, dan atribut pengguna. Anda dapat menggabungkan beberapa kondisi dalam satu kebijakan.
Tata kelola keamanan terpusat — Aktifkan pemilik klaster untuk mengontrol akses menggunakan sintaks AWS kebijakan yang sudah dikenal yang terintegrasi dengan praktik keamanan Anda yang ada.
catatan
Cross-account akses belum didukung untuk kebijakan berbasis sumber daya Aurora DSQL tetapi akan tersedia di rilis mendatang.
Ketika seseorang mencoba terhubung ke klaster Aurora DSQL Anda, AWS evaluasi kebijakan berbasis sumber daya Anda sebagai bagian dari konteks otorisasi, bersama dengan kebijakan IAM yang relevan, untuk menentukan apakah permintaan tersebut harus diizinkan atau ditolak.
Resource-based kebijakan dapat memberikan akses ke prinsipal dalam AWS akun yang sama dengan klaster. Untuk klaster Multi-region, setiap kluster regional memiliki kebijakan berbasis sumber dayanya sendiri, yang memungkinkan kontrol akses bila diperlukan. Region-specific
catatan
Kunci konteks kondisi dapat bervariasi antar Wilayah (seperti ID VPC).
Topik
