本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Aurora DSQL 的資源型政策
使用 Aurora DSQL 的資源型政策,透過直接連接到叢集資源的 JSON 政策文件來限制或授予對叢集的存取。這些政策提供精細控制誰可以存取您的叢集,以及在哪些條件下存取您的叢集。
預設可從公有網際網路存取 Aurora DSQL 叢集,並以 IAM 身分驗證做為主要安全控制。以資源為基礎的政策可讓您新增存取限制,尤其是封鎖來自公有網際網路的存取。
以資源為基礎的政策可與 IAM 身分為基礎的政策搭配使用。 會 AWS 評估這兩種類型的政策,以判斷對叢集的任何存取請求的最終許可。根據預設,可在 帳戶中存取 Aurora DSQL 叢集。如果 IAM 使用者或角色具有 Aurora DSQL 許可,他們可以存取未連接資源型政策的叢集。
注意
資源型政策的變更最終會一致,且通常會在一分鐘內生效。
如需身分型政策與資源型政策之間差異的詳細資訊,請參閱《IAM 使用者指南》中的身分型政策和資源型政策。
何時使用資源型政策
以資源為基礎的政策在這些案例中特別有用:
網路型存取控制 — 根據請求來源的 VPC 或 IP 地址來限制存取,或完全封鎖公有網際網路存取。使用
aws:SourceVpc和 等條件金鑰aws:SourceIp來控制網路存取。多個團隊或應用程式 — 授予多個團隊或應用程式的相同叢集存取權。您可以在叢集上定義存取規則一次,而不是管理每個主體的個別 IAM 政策。
複雜條件式存取 — 根據多個因素控制存取,例如網路屬性、請求內容和使用者屬性。您可以在單一政策中結合多個條件。
集中式安全控管 — 讓叢集擁有者使用與現有安全實務整合的熟悉 AWS 政策語法來控制存取。
注意
Aurora DSQL 資源型政策尚未支援跨帳戶存取,但將在未來版本中提供。
當有人嘗試連線到您的 Aurora DSQL 叢集時, 會 AWS 評估您的資源型政策,做為授權內容的一部分,以及任何相關的 IAM 政策,以判斷是否應允許或拒絕請求。
以資源為基礎的政策可以將存取權授予與叢集相同 AWS 帳戶內的主體。對於多區域叢集,每個區域叢集都有自己的資源型政策,允許在需要時進行區域特定的存取控制。
注意
條件內容索引鍵可能因區域 (例如 VPC IDs) 而異。
