Aurora DSQL のリソースベースのポリシー
Aurora DSQL のリソースベースのポリシーを使用し、クラスターリソースに直接アタッチする JSON ポリシードキュメントを通じてクラスターへのアクセスを制限または許可します。これらのポリシーは、クラスターにアクセスできるユーザーとその条件をきめ細かく制御します。
Aurora DSQL クラスターは、デフォルトではパブリックインターネットからアクセスでき、IAM 認証をプライマリセキュリティコントロールとして使用します。リソースベースのポリシーを使用すると、特にパブリックインターネットからのアクセスをブロックするためのアクセス制限を追加できます。
リソースベースのポリシーは、IAM アイデンティティベースのポリシーと連携して機能します。AWS は、両方のタイプのポリシーを評価して、クラスターへのアクセスリクエストの最終アクセス許可を決定します。デフォルトでは、Aurora DSQL クラスターはアカウント内でアクセス可能です。IAM ユーザーまたはロールに Aurora DSQL のアクセス許可がある場合、リソースベースのポリシーがアタッチされていないクラスターにアクセスできます。
注記
リソースベースのポリシーへの変更は結果的に整合性があり、通常は 1 分以内に有効になります。
アイデンティティベース (IAM) のポリシーおよびリソースポリシーの間の詳細な相違点については、「IAM ユーザーガイド」の「アイデンティティベースおよびリソースベースのポリシー」を参照してください。
どのようなときにリソースベースのポリシーを使うか
リソースベースのポリシーは、以下のシナリオで特に役立ちます。
ネットワークベースのアクセスコントロール - リクエストの送信元の VPC または IP アドレスに基づいてアクセスを制限するか、パブリックインターネットのアクセスをすべてブロックします。
aws:SourceVpcやaws:SourceIpなどの条件キーを使用して、ネットワークアクセスを制御します。複数のチームまたはアプリケーション - 複数のチームまたはアプリケーションに同じクラスターへのアクセスを許可します。各プリンシパルの個々の IAM ポリシーを管理するのではなく、1 回でクラスターのアクセスルールを定義します。
複雑な条件付きアクセス - ネットワーク属性、リクエストコンテキスト、ユーザー属性などの複数の要因に基づいてアクセスを制御します。複数の条件を 1 つのポリシーに組み合わせることができます。
集中型セキュリティガバナンス - クラスター所有者は、既存のセキュリティプラクティスと統合された使い慣れた AWS ポリシー構文を使用してアクセスを制御できます。
注記
クロスアカウントアクセスは、Aurora DSQL のリソースベースのポリシーではまだサポートされていませんが、今後のリリースで追加されます。
誰かが Aurora DSQL クラスターに接続しようとすると、AWS は認可コンテキストの一部としてリソースベースのポリシーと、関連する IAM ポリシーを評価して、リクエストを許可または拒否するかどうかを判断します。
リソースベースのポリシーは、クラスターと同じ AWS アカウント内のプリンシパルにアクセスを許可できます。マルチリージョンクラスターの場合、各リージョンクラスターに独自のリソースベースのポリシーがあり、必要に応じてリージョン固有のアクセスコントロールが可能になります。
注記
条件コンテキストキーは、リージョン (VPC ID など) によって異なる場合があります。
