Aurora DSQL 的基于资源的策略
使用 Aurora DSQL 的基于资源的策略,通过直接附加到集群资源的 JSON 策略文档来限制或授予对集群的访问权限。这些策略可以精细地控制谁可以在什么条件下访问您的集群。
默认情况下,Aurora DSQL 集群可通过公共互联网进行访问,并将 IAM 身份验证作为主要的安全控制措施。基于资源的策略可让您添加访问限制,特别是屏蔽来自公共互联网的访问。
基于资源的策略与 IAM 基于身份的策略协同工作。AWS 评估这两种类型的策略,以确定对集群的任何访问请求的最终权限。默认情况下,可以在账户内访问 Aurora DSQL 集群。如果 IAM 用户或角色拥有 Aurora DSQL 权限,则他们可以在未附加任何基于资源的策略的情况下访问集群。
注意
对基于资源的策略所做的更改会最终一致,并且通常在一分钟内生效。
有关基于身份的策略与基于资源的策略之间的差别的更多信息,请参阅《IAM 用户指南》中的基于身份的策略和基于资源的策略。
何时使用基于资源的策略
基于资源的策略在以下情况下特别有用:
基于网络的访问控制:根据从中发出请求的 VPC 或 IP 地址来限制访问,或者完全阻止公共互联网访问。使用诸如
aws:SourceVpc和aws:SourceIp之类的条件键来控制网络访问。多个团队或应用程序:为多个团队或应用程序授予对同一个集群的访问权限。您可以在集群上定义一次访问规则,而不是为每个主体管理单独的 IAM 策略。
复杂的条件访问:根据网络属性、请求上下文和用户属性等多种因素控制访问权限。您可以在单个策略中组合多个条件。
集中式安全治理:使集群所有者能够使用与现有安全实践集成的熟悉的 AWS 策略语法来控制访问权限。
注意
Aurora DSQL 基于资源的策略尚不支持跨账户访问,但将在未来的版本中提供。
当有人尝试连接到 Aurora DSQL 集群时,AWS 会在授权上下文中评估基于资源的策略以及任何相关的 IAM 策略,以确定是应允许还是拒绝该请求。
基于资源的策略可以向与集群相同的 AWS 账户中的主体授予访问权限。对于多区域集群,每个区域集群都有自己的基于资源的策略,支持在需要时进行区域特定的访问控制。
注意
条件上下文键可能因区域而异(例如 VPC ID)。
