# Usar chaves de condição do IAM com o Amazon Aurora DSQL
<a name="using-iam-condition-keys"></a>

Ao conceder permissões no Aurora DSQL, você pode especificar as condições que determinam como uma política de permissões entra em vigor. Os exemplos a seguir mostram como você pode usar chaves de condição em políticas de permissões do IAM do Aurora DSQL.

## Exemplo 1: conceder permissão para criar um cluster em uma Região da AWS específica
<a name="using-iam-condition-keys-create-cluster"></a>

A política a seguir concede permissão para criar clusters nas regiões Leste dos EUA (Norte da Virgínia) e Leste dos EUA (Ohio). Essa política usa o ARN do recurso para limitar as regiões permitidas; portanto, o Aurora DSQL só pode criar clusters se esse ARN for especificado na seção `Resource` da política. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["dsql:CreateCluster"], 
            "Resource": [
                "arn:aws:dsql:us-east-1:*:cluster/*",
                "arn:aws:dsql:us-east-2:*:cluster/*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

## Exemplo 2: conceder permissão para criar um cluster multirregional em uma Região da AWS específica
<a name="using-iam-condition-keys-create-mr-cluster"></a>

A política a seguir concede permissão para criar clusters multirregionais nas regiões Leste dos EUA (Norte da Virgínia) e Leste dos EUA (Ohio). Essa política usa o ARN do recurso para limitar as regiões permitidas; portanto, o Aurora DSQL pode criar clusters multirregionais se esse ARN for especificado na seção `Resource` da política. Observe que a criação de clusters multirregionais também exige as permissões `PutMultiRegionProperties`, `PutWitnessRegion` e `AddPeerCluster` em cada região especificada. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "dsql:CreateCluster",
          "dsql:PutMultiRegionProperties",
          "dsql:PutWitnessRegion",
          "dsql:AddPeerCluster"
        ],
        "Resource": [
           "arn:aws:dsql:us-east-1:123456789012:cluster/*",
           "arn:aws:dsql:us-east-2:123456789012:cluster/*"
        ]
      }
    ]
}
```

------

## Exemplo 3: conceder permissão para criar um cluster multirregional com uma região testemunha específica
<a name="using-iam-condition-keys-create-mr-cluster-witness"></a>

A política a seguir usa uma chave de condição `dsql:WitnessRegion` do Aurora DSQL e permite que um usuário crie clusters multirregionais com uma região testemunha no Oeste dos EUA (Oregon). Se você não especificar a condição `dsql:WitnessRegion`, poderá usar qualquer região como região testemunha. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dsql:CreateCluster",
                "dsql:PutMultiRegionProperties",
                "dsql:AddPeerCluster"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dsql:PutWitnessRegion"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*",
            "Condition": {
                "StringEquals": {
                    "dsql:WitnessRegion": [
                        "us-west-2"
                    ]
                }
            }
        }
    ]
}
```

------