Amazon Aurora DSQL에서 IAM 조건 키 사용
Aurora DSQL에서 권한을 부여할 때 권한 정책이 적용되는 방식을 결정하는 조건을 지정할 수 있습니다. 다음은 Aurora DSQL 권한 정책에서 조건 키를 사용할 수 있는 방법의 예입니다.
예시 1: 특정 AWS 리전에 클러스터를 생성할 수 있는 권한 부여
다음 정책은 미국 동부(버지니아 북부) 및 미국 동부(오하이오) 리전에서 클러스터를 생성할 수 있는 권한을 부여합니다. 이 정책은 리소스 ARN을 사용하여 허용된 리전을 제한하므로 Aurora DSQL은 정책의 Resource 섹션에 해당 ARN이 지정된 경우에만 클러스터를 생성할 수 있습니다.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Action": ["dsql:CreateCluster"],
"Resource": [
"arn:aws:dsql:us-east-1:*:cluster/*",
"arn:aws:dsql:us-east-2:*:cluster/*"
],
"Effect": "Allow"
}
]
}
예시 2: 특정 AWS 리전에 다중 리전 클러스터를 생성할 수 있는 권한 부여
다음 정책은 미국 동부(버지니아 북부) 및 미국 동부(오하이오) 리전에서 다중 리전 클러스터를 생성할 수 있는 권한을 부여합니다. 이 정책은 리소스 ARN을 사용하여 허용된 리전을 제한하므로 Aurora DSQL은 정책의 Resource 섹션에 해당 ARN이 지정된 경우에만 다중 리전 클러스터를 생성할 수 있습니다. 다중 리전 클러스터를 생성하려면 지정된 각 리전에서도 PutMultiRegionProperties, PutWitnessRegion, AddPeerCluster 권한이 필요합니다.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:PutWitnessRegion",
"dsql:AddPeerCluster"
],
"Resource": [
"arn:aws:dsql:us-east-1:123456789012:cluster/*",
"arn:aws:dsql:us-east-2:123456789012:cluster/*"
]
}
]
}
예시 3: 특정 감시 리전을 사용하여 다중 리전 클러스터를 생성할 수 있는 권한 부여
다음 정책은 Aurora DSQL dsql:WitnessRegion 조건 키를 사용하고 사용자가 미국 서부(오리건)에 감시 리전을 사용하여 다중 리전 클러스터를 생성하도록 허용합니다. dsql:WitnessRegion 조건을 지정하지 않으면 모든 리전을 감시 리전으로 사용할 수 있습니다.
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:AddPeerCluster"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*"
},
{
"Effect": "Allow",
"Action": [
"dsql:PutWitnessRegion"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*",
"Condition": {
"StringEquals": {
"dsql:WitnessRegion": [
"us-west-2"
]
}
}
}
]
}
