Exemplos de políticas baseadas em recursos comuns
Estes exemplos mostram padrões comuns para controlar o acesso aos seus clusters do Aurora DSQL. Você pode combinar e modificar esses padrões para atender aos seus requisitos específicos de acesso.
Bloqueio de acesso à internet pública
Essa política bloqueia conexões com seus clusters do Aurora DSQL pela Internet pública (não VPC). A política não especifica de qual VPC os clientes podem se conectar, apenas que eles devem se conectar por meio de uma VPC. Para limitar o acesso a uma VPC específica, use aws:SourceVpc com o operador de condição StringEquals.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" } } } ] }
nota
Este exemplo usa somente aws:SourceVpc para conferir as conexões de VPC. As chaves de condição aws:VpcSourceIp e aws:SourceVpce fornecem granularidade adicional, mas não são necessárias para o controle de acesso básico somente de VPC.
Para abrir uma exceção para funções específicas, em vez disso, use esta política:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessFromOutsideVPC", "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Condition": { "Null": { "aws:SourceVpc": "true" }, "StringNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/ExceptionRole", "arn:aws:iam::123456789012:role/AnotherExceptionRole" ] } } } ] }
Restringir o acesso à organização da AWS
Essa política restringe o acesso às entidades principais em uma organização da AWS:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect", "dsql:DbConnectAdmin" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotEquals": { "aws:PrincipalOrgID": "o-exampleorgid" } } } ] }
Restringir acesso a uma unidade organizacional específica
Essa política restringe o acesso às entidades principais em uma unidade organizacional (UO) específica em uma organização da AWS, oferecendo um controle mais detalhado do que o acesso em toda a organização:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": [ "dsql:DbConnect" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster:mycluster", "Condition": { "StringNotLike": { "aws:PrincipalOrgPaths": "o-exampleorgid/r-examplerootid/ou-exampleouid/*" } } } ] }
Políticas para clusters multirregionais
Em relação a clusters multirregionais, cada cluster regional mantém a própria política de recursos, permitindo controles de acesso específicos da região. Veja um exemplo com diferentes políticas por região:
política us-east-1:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-east1-id" }, "Null": { "aws:SourceVpc": "true" } } } ] }
política us-east-2:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Resource": "*", "Action": [ "dsql:DbConnect" ], "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-east2-id" } } } ] }
nota
As chaves de contexto de condição podem variar entre Regiões da AWS (como IDs de VPC).
