本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IAM 條件索引鍵搭配 Amazon Aurora DSQL
您在 Aurora DSQL 中授予許可權限時,可以指定條件以決定許可權限政策的生效方式。以下是如何在 Aurora DSQL 許可權限政策中使用條件索引鍵的範例。
範例 1:授予在特定 中建立叢集的許可 AWS 區域
下列政策授予許可權限在美國東部 (維吉尼亞北部) 和美國東部 (俄亥俄) 區域中建立叢集。此政策使用資源 ARN 限制允許的區域,因此 Aurora DSQL 只有在政策 Resource 區段中指定該 ARN 時才能建立叢集。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Action": ["dsql:CreateCluster"],
"Resource": [
"arn:aws:dsql:us-east-1:*:cluster/*",
"arn:aws:dsql:us-east-2:*:cluster/*"
],
"Effect": "Allow"
}
]
}
範例 2:授予在特定 AWS 區域中建立多區域叢集的許可
下列政策授予許可權限在美國東部 (維吉尼亞北部) 和美國東部 (俄亥俄) 區域中建立多區域叢集。此政策使用資源 ARN 限制允許的區域,因此 Aurora DSQL 只有在政策 Resource 區段中指定此 ARN 時才能建立多區域叢集。請注意,建立多區域叢集也需要在每個指定區域中具備 PutMultiRegionProperties、PutWitnessRegion 和 AddPeerCluster 許可權限。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:PutWitnessRegion",
"dsql:AddPeerCluster"
],
"Resource": [
"arn:aws:dsql:us-east-1:123456789012:cluster/*",
"arn:aws:dsql:us-east-2:123456789012:cluster/*"
]
}
]
}
範例 3:授予許可權限以建立具有特定見證區域的多區域叢集
下列政策使用 Aurora DSQL dsql:WitnessRegion 條件索引鍵,可讓使用者在美國西部 (奧勒岡) 建立包含見證區域的多區域叢集。如果您未指定 dsql:WitnessRegion 條件,您可以使用任何區域做為見證區域。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:AddPeerCluster"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*"
},
{
"Effect": "Allow",
"Action": [
"dsql:PutWitnessRegion"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*",
"Condition": {
"StringEquals": {
"dsql:WitnessRegion": [
"us-west-2"
]
}
}
}
]
}
