Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempi di politiche comuni basate sulle risorse
Questi esempi mostrano modelli comuni per il controllo dell'accesso ai cluster Aurora DSQL. È possibile combinare e modificare questi modelli per soddisfare i requisiti di accesso specifici.
## Blocca l'accesso pubblico a Internet
Questa policy blocca le connessioni ai cluster Aurora DSQL dalla rete Internet pubblica (non VPC). La policy non specifica da quale VPC i clienti possono connettersi, ma solo che devono connettersi da un VPC. Per limitare l'accesso a un VPC specifico, utilizzalo `aws:SourceVpc` con l'operatore delle `StringEquals` condizioni.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Condition": {
"Null": {
"aws:SourceVpc": "true"
}
}
}
]
}
```
**Nota**
Questo esempio serve solo `aws:SourceVpc` a verificare la presenza di connessioni VPC. Le chiavi `aws:VpcSourceIp` e `aws:SourceVpce` condition forniscono una granularità aggiuntiva ma non sono necessarie per il controllo di accesso di base basato solo su VPC.
Per fornire un'eccezione per ruoli specifici, utilizza invece questa politica:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAccessFromOutsideVPC",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Condition": {
"Null": {
"aws:SourceVpc": "true"
},
"StringNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::123456789012:role/ExceptionRole",
"arn:aws:iam::123456789012:role/AnotherExceptionRole"
]
}
}
}
]
}
```
## Limita l'accesso all' AWS organizzazione
Questa politica limita l'accesso ai responsabili all'interno di un' AWS organizzazione:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"dsql:DbConnect",
"dsql:DbConnectAdmin"
],
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a",
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgID": "o-exampleorgid"
}
}
}
]
}
```
## Limita l'accesso a una specifica unità organizzativa
Questa politica limita l'accesso ai responsabili all'interno di una specifica unità organizzativa (OU) di un' AWS organizzazione, fornendo un controllo più granulare rispetto all'accesso a livello di organizzazione:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"dsql:DbConnect"
],
"Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/mydsqlclusterid0123456789a",
"Condition": {
"StringNotLike": {
"aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*"
}
}
}
]
}
```
## Politiche di cluster multiregionali
Per i cluster multiregionali, ogni cluster regionale mantiene la propria politica in materia di risorse, che consente controlli specifici per regione. Ecco un esempio con politiche diverse per regione:
*politica us-east-1:*
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpc": "vpc-east1-id"
},
"Null": {
"aws:SourceVpc": "true"
}
}
}
]
}
```
*politica us-east-2:*
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Action": [
"dsql:DbConnect"
],
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-east2-id"
}
}
}
]
}
```
**Nota**
Le chiavi del contesto delle condizioni possono variare tra Regioni AWS (come VPC IDs).