# Aurora DSQL 的基于资源的策略
<a name="resource-based-policies"></a>

使用 Aurora DSQL 的基于资源的策略，通过直接附加到集群资源的 JSON 策略文档来限制或授予对集群的访问权限。这些策略可以精细地控制谁可以在什么条件下访问您的集群。

默认情况下，Aurora DSQL 集群可通过公共互联网进行访问，并将 IAM 身份验证作为主要的安全控制措施。基于资源的策略可让您添加访问限制，特别是屏蔽来自公共互联网的访问。

基于资源的策略与 IAM 基于身份的策略协同工作。AWS 评估这两种类型的策略，以确定对集群的任何访问请求的最终权限。默认情况下，可以在账户内访问 Aurora DSQL 集群。如果 IAM 用户或角色拥有 Aurora DSQL 权限，则他们可以在未附加任何基于资源的策略的情况下访问集群。

**注意**  
对基于资源的策略所做的更改会最终一致，并且通常在一分钟内生效。

有关基于身份的策略与基于资源的策略之间的差别的更多信息，请参阅《IAM 用户指南》**中的[基于身份的策略和基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。

## 何时使用基于资源的策略
<a name="rbp-when-to-use"></a>

基于资源的策略在以下情况下特别有用：
+ *基于网络的访问控制*：根据从中发出请求的 VPC 或 IP 地址来限制访问，或者完全阻止公共互联网访问。使用诸如 `aws:SourceVpc` 和 `aws:SourceIp` 之类的条件键来控制网络访问。
+ *多个团队或应用程序*：为多个团队或应用程序授予对同一个集群的访问权限。您可以在集群上定义一次访问规则，而不是为每个主体管理单独的 IAM 策略。
+ *复杂的条件访问*：根据网络属性、请求上下文和用户属性等多种因素控制访问权限。您可以在单个策略中组合多个条件。
+ *集中式安全治理*：使集群所有者能够使用与现有安全实践集成的熟悉的 AWS 策略语法来控制访问权限。

**注意**  
Aurora DSQL 基于资源的策略尚不支持跨账户访问，但将在未来的版本中提供。

当有人尝试连接到 Aurora DSQL 集群时，AWS 会在授权上下文中评估基于资源的策略以及任何相关的 IAM 策略，以确定是应允许还是拒绝该请求。

基于资源的策略可以向与集群相同的 AWS 账户中的主体授予访问权限。对于多区域集群，每个区域集群都有自己的基于资源的策略，支持在需要时进行区域特定的访问控制。

**注意**  
条件上下文键可能因区域而异（例如 VPC ID）。

**Topics**
+ [何时使用](#rbp-when-to-use)
+ [使用策略创建](rbp-create-cluster.md)
+ [添加和编辑策略](rbp-attach-policy.md)
+ [查看策略](rbp-view-policy.md)
+ [移除策略](rbp-remove-policy.md)
+ [策略示例](rbp-examples.md)
+ [阻止公有访问](rbp-block-public-access.md)
+ [API 操作](rbp-api-operations.md)