Usar chaves de condição do IAM com o Amazon Aurora DSQL - Amazon Aurora DSQL
Criar um cluster em uma região específicaCriar um cluster multirregional em regiões específicasCriar um cluster multirregional com uma região testemunha específica

Usar chaves de condição do IAM com o Amazon Aurora DSQL

Ao conceder permissões no Aurora DSQL, você pode especificar as condições que determinam como uma política de permissões entra em vigor. Os exemplos a seguir mostram como você pode usar chaves de condição em políticas de permissões do IAM do Aurora DSQL.

Exemplo 1: conceder permissão para criar um cluster em uma Região da AWS específica

A política a seguir concede permissão para criar clusters nas regiões Leste dos EUA (Norte da Virgínia) e Leste dos EUA (Ohio). Essa política usa o ARN do recurso para limitar as regiões permitidas; portanto, o Aurora DSQL só pode criar clusters se esse ARN for especificado na seção Resource da política.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": ["dsql:CreateCluster"], 
            "Resource": [
                "arn:aws:dsql:us-east-1:*:cluster/*",
                "arn:aws:dsql:us-east-2:*:cluster/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Exemplo 2: conceder permissão para criar um cluster multirregional em uma Região da AWS específica

A política a seguir concede permissão para criar clusters multirregionais nas regiões Leste dos EUA (Norte da Virgínia) e Leste dos EUA (Ohio). Essa política usa o ARN do recurso para limitar as regiões permitidas; portanto, o Aurora DSQL pode criar clusters multirregionais se esse ARN for especificado na seção Resource da política. Observe que a criação de clusters multirregionais também exige as permissões PutMultiRegionProperties, PutWitnessRegion e AddPeerCluster em cada região especificada.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "dsql:CreateCluster",
          "dsql:PutMultiRegionProperties",
          "dsql:PutWitnessRegion",
          "dsql:AddPeerCluster"
        ],
        "Resource": [
           "arn:aws:dsql:us-east-1:123456789012:cluster/*",
           "arn:aws:dsql:us-east-2:123456789012:cluster/*"
        ]
      }
    ]
}

Exemplo 3: conceder permissão para criar um cluster multirregional com uma região testemunha específica

A política a seguir usa uma chave de condição dsql:WitnessRegion do Aurora DSQL e permite que um usuário crie clusters multirregionais com uma região testemunha no Oeste dos EUA (Oregon). Se você não especificar a condição dsql:WitnessRegion, poderá usar qualquer região como região testemunha.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dsql:CreateCluster",
                "dsql:PutMultiRegionProperties",
                "dsql:AddPeerCluster"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dsql:PutWitnessRegion"
            ],
            "Resource": "arn:aws:dsql:*:123456789012:cluster/*",
            "Condition": {
                "StringEquals": {
                    "dsql:WitnessRegion": [
                        "us-west-2"
                    ]
                }
            }
        }
    ]
}