Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di chiavi di condizione IAM con Amazon Aurora DSQL

Quando si concedono le autorizzazioni in Aurora DSQL, è possibile specificare le condizioni che determinano il modo in cui una policy di autorizzazione viene applicata. Di seguito sono illustrati esempi di come è possibile utilizzare le chiavi di condizione nelle policy di autorizzazioni IAM di Aurora DSQL.

Esempio 1: concedere l'autorizzazione per creare un cluster in uno specifico Regione AWS

Le seguenti policy concedono l’autorizzazione a creare cluster nelle Regioni Stati Uniti orientali (Virginia settentrionale) e Stati Uniti orientali (Ohio). Questa policy utilizza l’ARN della risorsa per limitare le Regioni consentite, quindi Aurora DSQL può creare cluster solo se tale ARN è specificato nella sezione Resource della policy.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["dsql:CreateCluster"], 
            "Resource": [
                "arn:aws:dsql:us-east-1:*:cluster/*",
                "arn:aws:dsql:us-east-2:*:cluster/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Esempio 2: concedere l'autorizzazione a creare un cluster multiregionale in s specifici Regione AWS

Le seguenti policy concedono l’autorizzazione a creare cluster multi-Regione nelle Regioni Stati Uniti orientali (Virginia settentrionale) e Stati Uniti orientali (Ohio). Questa policy utilizza l’ARN della risorsa per limitare le Regioni consentite, quindi Aurora DSQL può creare cluster multi-Regione solo se questo ARN è specificato nella sezione Resource della policy. Tenere presente che la creazione di cluster multi-Regione richiede anche le autorizzazioni PutMultiRegionProperties, PutWitnessRegion e AddPeerCluster in ciascuna Regione specificata.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "dsql:CreateCluster",
          "dsql:PutMultiRegionProperties",
          "dsql:PutWitnessRegion",
          "dsql:AddPeerCluster"
        ],
        "Resource": [
           "arn:aws:dsql:us-east-1:123456789012:cluster/*",
           "arn:aws:dsql:us-east-2:123456789012:cluster/*"
        ]
      }
    ]
}

Esempio 3: concessione dell’autorizzazione per creare un cluster multi-Regione con una Regione testimone specifica

La seguente policy utilizza una chiave di condizione dsql:WitnessRegion di Aurora DSQL e consente a un utente di creare cluster multi-Regione con una Regione testimone negli Stati Uniti occidentali (Oregon). Se non si specifica la condizione dsql:WitnessRegion, è possibile utilizzare qualsiasi Regione come Regione testimone.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dsql:CreateCluster",
                "dsql:PutMultiRegionProperties",
                "dsql:AddPeerCluster"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dsql:PutWitnessRegion"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*",
            "Condition": {
                "StringEquals": {
                    "dsql:WitnessRegion": [
                        "us-west-2"
                    ]
                }
            }
        }
    ]
}