Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy basate sulle risorse per Aurora DSQL
Utilizza le policy basate sulle risorse per Aurora DSQL per limitare o concedere l'accesso ai cluster tramite documenti di policy JSON che si allegano direttamente alle risorse del cluster. Queste policy forniscono un controllo dettagliato su chi può accedere al cluster e in quali condizioni.
I cluster Aurora DSQL sono accessibili dalla rete Internet pubblica per impostazione predefinita, con l'autenticazione IAM come controllo di sicurezza principale. Le politiche basate sulle risorse consentono di aggiungere restrizioni di accesso, in particolare per bloccare l'accesso dalla rete Internet pubblica.
Le politiche basate sulle risorse funzionano insieme alle politiche basate sull'identità IAM. AWS valuta entrambi i tipi di policy per determinare le autorizzazioni finali per qualsiasi richiesta di accesso al cluster. Per impostazione predefinita, i cluster Aurora DSQL sono accessibili all'interno di un account. Se un utente o un ruolo IAM dispone delle autorizzazioni Aurora DSQL, può accedere ai cluster senza alcuna policy basata sulle risorse allegata.
Nota
Le modifiche alle policy basate sulle risorse alla fine sono coerenti e in genere entrano in vigore entro un minuto.
Per ulteriori informazioni sulle differenze tra le politiche basate sull'identità e le politiche basate sulle risorse, consulta Politiche basate sull'identità e politiche basate sulle risorse nella Guida per l'utente IAM.
Quando utilizzare le politiche basate sulle risorse
Le politiche basate sulle risorse sono particolarmente utili in questi scenari:
Controllo degli accessi basato sulla rete: limita l'accesso in base al VPC o all'indirizzo IP da cui provengono le richieste o blocca completamente l'accesso pubblico a Internet. Usa chiavi condizionali come
aws:SourceVpceaws:SourceIpper controllare l'accesso alla rete.Più team o applicazioni: concedi l'accesso allo stesso cluster a più team o applicazioni. Anziché gestire le singole policy IAM per ogni principale, definisci le regole di accesso una sola volta nel cluster.
Accesso condizionale complesso: controlla l'accesso in base a più fattori come gli attributi di rete, il contesto della richiesta e gli attributi utente. È possibile combinare più condizioni in un'unica politica.
Governance della sicurezza centralizzata: consenti ai proprietari dei cluster di controllare l'accesso utilizzando una sintassi delle AWS policy familiare che si integra con le pratiche di sicurezza esistenti.
Nota
L'accesso tra account non è ancora supportato per le policy basate sulle risorse di Aurora DSQL, ma sarà disponibile nelle versioni future.
Quando qualcuno tenta di connettersi al cluster Aurora DSQL, AWS valuta la policy basata sulle risorse come parte del contesto di autorizzazione, insieme a qualsiasi policy IAM pertinente, per determinare se la richiesta deve essere consentita o rifiutata.
Le politiche basate sulle risorse possono concedere l'accesso ai principali all'interno dello stesso account del cluster. AWS Per i cluster multiregionali, ogni cluster regionale dispone di una propria politica basata sulle risorse, che consente controlli di accesso specifici per regione quando necessario.
Nota
Le chiavi del contesto delle condizioni possono variare tra le regioni (come VPC IDs).
Argomenti
