Amazon Aurora DSQL 作为预览服务提供。要了解更多信息,请参阅《AWS Service Terms》中的 Betas and Previews
将 IAM 条件键与 Amazon Aurora DSQL 结合使用
在 Aurora DSQL 中授予权限时,可以指定确定权限策略如何生效的条件。以下示例说明了如何在 Aurora DSQL 权限策略中使用条件键。
示例 1:授予在特定 AWS 区域中创建集群的权限
以下策略授予在美国东部(弗吉尼亚州北部)和美国东部(俄亥俄州)区域中创建集群的权限。此策略使用资源 ARN 来限制支持的区域,因此,仅当在该策略的 Resource 部分中指定该 ARN 时,Aurora DSQL 才能创建集群。
{ "Version": "2012-10-17", "Statement": [ { # Control where clusters can be created "Action": ["CreateCluster"], "Resource": [ "arn:aws:dsql:us-east-1:*:cluster/*", "arn:aws:dsql:us-east-2:*:cluster/*" ], "Effect": "Allow" } ] }
示例 2:授予在特定 AWS 区域中创建多区域集群的权限
以下策略授予在美国东部(弗吉尼亚州北部)和美国东部(俄亥俄州)区域中创建多区域集群的权限。此策略使用资源 ARN 来限制支持的区域,因此,仅当在该策略的 Resource 部分中指定该 ARN 时,Aurora DSQL 才能创建多区域集群。请注意,创建多区域集群还需要在每个指定的区域中具有 CreateCluster 权限。
{ "Version": "2012-10-17", "Statement": [ { "Action": ["CreateMultiRegionClusters"], "Resource": [ "arn:aws:dsql:us-east-1:*:cluster/*", "arn:aws:dsql:us-east-2:*:cluster/*" ], "Effect": "Allow" }, { "Action": ["CreateCluster"], "Resource": [ "arn:aws:dsql:us-east-1:*:cluster/*", "arn:aws:dsql:us-east-2:*:cluster/*" ], "Effect": "Allow" } ] }
示例 3:授予创建具有特定见证区域的多区域集群的权限
以下策略使用 Aurora DSQL dsql:WitnessRegion 条件键,并让用户创建在美国西部(俄勒冈州)具有见证区域的多区域集群。如果您未指定 dsql:WitnessRegion 条件,则可以使用任何区域作为见证区域。
{ "Version": "2012-10-17", "Statement": [ { "Action": ["CreateMultiRegionClusters"], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "dsql:WitnessRegion": ["us-west-2"] } } }, { "Action": ["CreateCluster"], "Resource": "*", "Effect": "Allow" } ] }
