Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Blocco dell'accesso pubblico con politiche basate sulle risorse in Aurora DSQL
Block Public Access (BPA) è una funzionalità che identifica e impedisce l'associazione di policy basate sulle risorse che garantiscono l'accesso pubblico ai cluster Aurora DSQL tra i tuoi account. AWS Con BPA, puoi impedire l'accesso pubblico alle tue risorse Aurora DSQL. BPA esegue controlli durante la creazione o la modifica di una policy basata sulle risorse e aiuta a migliorare il livello di sicurezza con Aurora DSQL.
Il BPA utilizza il ragionamento automatico
Importante
BPA aiuta a proteggere le risorse impedendo che l'accesso pubblico venga concesso tramite le politiche basate sulle risorse direttamente collegate alle risorse Aurora DSQL, come i cluster. Oltre ad attivare il BPA, controlla attentamente le seguenti policy per verificare che non concedano l’accesso pubblico:
Politiche basate sull'identità collegate ai principali associati (ad esempio, ruoli IAM) AWS
Politiche basate sulle risorse collegate alle AWS risorse associate (ad esempio, AWS chiavi Key Management Service (KMS))
È necessario assicurarsi che il principale non includa una voce * o che una delle chiavi di condizione specificate limiti l’accesso dei principali alla risorsa. Se la policy basata sulle risorse concede l'accesso pubblico al cluster su più account AWS , Aurora DSQL impedirà all'utente di creare o modificare la policy fino a quando le specifiche all'interno della policy non saranno corrette e considerate non pubbliche.
È possibile rendere una policy non pubblica specificando uno o più principi all’interno del blocco del Principal. Il seguente esempio di policy basata su risorse blocca l’accesso pubblico specificando due principali.
{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "111122223333" ] }, "Action": "dsql:*", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/cluster-id" }
Inoltre, le policy che limitano l’accesso specificando determinate chiavi di condizione non sono considerate pubbliche. Oltre alla valutazione del principale specificato nella policy basata su risorse, vengono utilizzate le seguenti chiavi di condizione attendibili per completare la valutazione di una policy basata su risorse per l’accesso non pubblico:
aws:PrincipalAccountaws:PrincipalArnaws:PrincipalOrgIDaws:PrincipalOrgPathsaws:SourceAccountaws:SourceArnaws:SourceVpcaws:SourceVpceaws:UserIdaws:PrincipalServiceNameaws:PrincipalServiceNamesListaws:PrincipalIsAWSServiceaws:Ec2InstanceSourceVpcaws:SourceOrgIDaws:SourceOrgPaths
Inoltre, affinché una policy basata su risorse non sia pubblica, i valori del nome della risorsa Amazon (ARN) e le chiavi di stringa non devono contenere caratteri jolly o variabili. Se la propria policy basata su risorse utilizza la chiave aws:PrincipalIsAWSService, è necessario assicurarsi di aver impostato il valore della chiave su true.
La policy seguente limita l’accesso all’utente Ben nell’account specificato. La condizione rende il Principal vincolato e non lo considera pubblico.
{ "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dsql:*", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/cluster-id", "Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/Ben" } } }
L’esempio seguente di una policy basata su risorse non pubblica limita sourceVPC a utilizzare l’operatore StringEquals.
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dsql:*", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/cluster-id", "Condition": { "StringEquals": { "aws:SourceVpc": [ "vpc-91237329" ] } } } ] }
