本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Aurora DSQL 的資源型政策
<a name="resource-based-policies"></a>

使用 Aurora DSQL 的資源型政策，透過直接連接到叢集資源的 JSON 政策文件來限制或授予對叢集的存取。這些政策提供精細控制誰可以存取您的叢集，以及在哪些條件下存取您的叢集。

預設可從公有網際網路存取 Aurora DSQL 叢集，並以 IAM 身分驗證做為主要安全控制。以資源為基礎的政策可讓您新增存取限制，尤其是封鎖來自公有網際網路的存取。

以資源為基礎的政策可與 IAM 身分為基礎的政策搭配使用。 會 AWS 評估這兩種類型的政策，以判斷對叢集的任何存取請求的最終許可。根據預設，可在 帳戶中存取 Aurora DSQL 叢集。如果 IAM 使用者或角色具有 Aurora DSQL 許可，他們可以存取未連接資源型政策的叢集。

**注意**  
資源型政策的變更最終會一致，且通常會在一分鐘內生效。

如需身分型政策與資源型政策之間差異的詳細資訊，請參閱《*IAM 使用者指南*》中的[身分型政策和資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。

## 何時使用資源型政策
<a name="rbp-when-to-use"></a>

以資源為基礎的政策在這些案例中特別有用：
+ *網路型存取控制* — 根據請求來源的 VPC 或 IP 地址來限制存取，或完全封鎖公有網際網路存取。使用 `aws:SourceVpc`和 等條件金鑰`aws:SourceIp`來控制網路存取。
+ *多個團隊或應用程式* — 授予多個團隊或應用程式的相同叢集存取權。您可以在叢集上定義存取規則一次，而不是管理每個主體的個別 IAM 政策。
+ *複雜條件式存取* — 根據多個因素控制存取，例如網路屬性、請求內容和使用者屬性。您可以在單一政策中結合多個條件。
+ *集中式安全控管* — 讓叢集擁有者使用與現有安全實務整合的熟悉 AWS 政策語法來控制存取。

**注意**  
Aurora DSQL 資源型政策尚未支援跨帳戶存取，但將在未來版本中提供。

當有人嘗試連線到您的 Aurora DSQL 叢集時， 會將您的資源型政策 AWS 評估為授權內容的一部分，以及任何相關的 IAM 政策，以判斷是否應允許或拒絕請求。

以資源為基礎的政策可以將存取權授予與叢集相同 AWS 帳戶內的主體。對於多區域叢集，每個區域叢集都有自己的資源型政策，允許在需要時進行區域特定的存取控制。

**注意**  
條件內容索引鍵可能因區域 （例如 VPC IDs) 而異。

**Topics**
+ [何時使用](#rbp-when-to-use)
+ [使用 政策建立](rbp-create-cluster.md)
+ [新增和編輯政策](rbp-attach-policy.md)
+ [檢視政策](rbp-view-policy.md)
+ [移除政策](rbp-remove-policy.md)
+ [政策範例](rbp-examples.md)
+ [封鎖公有存取權](rbp-block-public-access.md)
+ [API 操作](rbp-api-operations.md)