Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di politiche comuni basate sulle risorse
Questi esempi mostrano modelli comuni per controllare l'accesso ai cluster Aurora DSQL. È possibile combinare e modificare questi modelli per soddisfare i requisiti di accesso specifici.
Blocca l'accesso pubblico a Internet
Questa policy blocca le connessioni ai cluster Aurora DSQL dalla rete Internet pubblica (non VPC). La policy non specifica da quale VPC i clienti possono connettersi, ma solo che devono connettersi da un VPC. Per limitare l'accesso a un VPC specifico, utilizzalo aws:SourceVpc con l'operatore delle StringEquals condizioni.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" } } } ] }
Nota
Questo esempio serve solo aws:SourceVpc a verificare la presenza di connessioni VPC. Le chiavi aws:VpcSourceIp e aws:SourceVpce condition forniscono una granularità aggiuntiva ma non sono necessarie per il controllo di accesso di base basato solo su VPC.
Per fornire un'eccezione per ruoli specifici, utilizza invece questa politica:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessFromOutsideVPC", "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" }, "StringNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/ExceptionRole", "arn:aws:iam::123456789012:role/AnotherExceptionRole" ] } } } ] }
Limita l'accesso all' AWS organizzazione
Questa politica limita l'accesso ai responsabili all'interno di un' AWS organizzazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-exampleorgid" } } } ] }
Limita l'accesso a una specifica unità organizzativa
Questa politica limita l'accesso ai responsabili all'interno di una specifica unità organizzativa (OU) di un' AWS organizzazione, fornendo un controllo più granulare rispetto all'accesso a livello di organizzazione:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotLike": { "aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*" } } } ] }
Politiche di cluster multiregionali
Per i cluster multiregionali, ogni cluster regionale mantiene la propria politica in materia di risorse, che consente controlli specifici per regione. Ecco un esempio con politiche diverse per regione:
politica us-east-1:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-east1-id" }, "Null": { "aws:SourceVpc": "true" } } } ] }
politica us-east-2:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-east2-id" } } } ] }
Nota
Le chiavi del contesto delle condizioni possono variare tra Regioni AWS (come VPC IDs).
