Políticas baseadas em recursos para o Aurora DSQL
Use políticas baseadas em recursos para o Aurora DSQL com o objetivo de restringir ou conceder acesso aos seus clusters por meio de documentos de política JSON que são anexados diretamente aos recursos do cluster. Essas políticas oferecem controle refinado sobre quem pode acessar seu cluster e em quais condições.
Os clusters do Aurora DSQL podem ser acessados pela Internet pública por padrão, com a autenticação do IAM como controle de segurança principal. As políticas baseadas em recursos permitem que você adicione restrições de acesso, principalmente para bloquear o acesso da Internet pública.
As políticas baseadas em recursos são políticas baseadas em identidade do IAM. A AWS avalia os dois tipos de política para determinar as permissões finais para qualquer solicitação de acesso ao seu cluster. Por padrão, os clusters do Aurora DSQL são acessíveis em uma conta. Se um usuário ou perfil do IAM tiver permissões do Aurora DSQL, ele poderá acessar clusters sem anexar uma política baseada em recursos.
nota
As alterações nas políticas baseadas em recursos acabam sendo consistentes e normalmente entram em vigor em um minuto.
Para acessar mais informações sobre as diferenças entre as políticas baseadas em identidade e as baseadas em recursos, consulte Políticas baseadas em identidade e em recurso no Guia do usuário do IAM.
Quando usar políticas baseadas em recursos
As políticas baseadas em recursos são políticas úteis nestes cenários:
Controle de acesso baseado em rede: restrinja o acesso com base na VPC ou no endereço IP de origem das solicitações ou bloqueie totalmente o acesso à Internet pública. Use chaves de condição, como
aws:SourceVpceaws:SourceIp, para controlar o acesso à rede.Várias equipes ou aplicações: conceda acesso ao mesmo cluster para várias equipes ou aplicações. Em vez de gerenciar políticas individuais do IAM para cada entidade principal, você define as regras de acesso uma vez no cluster.
Acesso condicional complexo: controle o acesso com base em vários fatores, como atributos de rede, contexto da solicitação e atributos do usuário. É possível combinar várias condições em uma única politica.
Governança de segurança centralizada: permita que os proprietários do cluster controlem o acesso usando uma sintaxe de política da AWS conhecida, que se integra às suas práticas de segurança existentes.
nota
O acesso entre contas ainda não é aceito pelas políticas baseadas em recursos do Aurora DSQL, mas estará disponível em versões futuras.
Quando tentam se conectar ao seu cluster do Aurora DSQL, a AWS avalia sua política baseada em recursos como parte do contexto de autorização, junto com todas as políticas relevantes do IAM, para decidir se vai permitir ou rejeitar a solicitação.
Políticas baseadas em recursos podem conceder acesso às entidades principais na mesma conta da AWS que do cluster. Em relação a clusters multirregionais, cada cluster regional tem sua própria política baseada em recursos, permitindo controles de acesso específicos da região quando necessário.
nota
As chaves de contexto de condição podem variar entre as regiões (como IDs de VPC).
Tópicos
