将 IAM 条件键与 Amazon Aurora DSQL 结合使用
在 Aurora DSQL 中授予权限时,可以指定确定权限策略如何生效的条件。以下示例说明了如何在 Aurora DSQL 权限策略中使用条件键。
示例 1:授予在特定 AWS 区域中创建集群的权限
以下策略授予在美国东部(弗吉尼亚州北部)和美国东部(俄亥俄州)区域中创建集群的权限。此策略使用资源 ARN 来限制支持的区域,因此,仅当在该策略的 Resource 部分中指定该 ARN 时,Aurora DSQL 才能创建集群。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Action": ["dsql:CreateCluster"],
"Resource": [
"arn:aws:dsql:us-east-1:*:cluster/*",
"arn:aws:dsql:us-east-2:*:cluster/*"
],
"Effect": "Allow"
}
]
}
示例 2:授予在特定 AWS 区域中创建多区域集群的权限
以下策略授予在美国东部(弗吉尼亚州北部)和美国东部(俄亥俄州)区域中创建多区域集群的权限。此策略使用资源 ARN 来限制支持的区域,因此,仅当在该策略的 Resource 部分中指定此 ARN 时,Aurora DSQL 才能创建多区域集群。请注意,创建多区域集群还需要在每个指定的区域中具有 PutMultiRegionProperties、PutWitnessRegion 和 AddPeerCluster 权限。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:PutWitnessRegion",
"dsql:AddPeerCluster"
],
"Resource": [
"arn:aws:dsql:us-east-1:123456789012:cluster/*",
"arn:aws:dsql:us-east-2:123456789012:cluster/*"
]
}
]
}
示例 3:授予创建具有特定见证区域的多区域集群的权限
以下策略使用 Aurora DSQL dsql:WitnessRegion 条件键,并让用户创建在美国西部(俄勒冈州)具有见证区域的多区域集群。如果您未指定 dsql:WitnessRegion 条件,则可以使用任何区域作为见证区域。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:AddPeerCluster"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*"
},
{
"Effect": "Allow",
"Action": [
"dsql:PutWitnessRegion"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*",
"Condition": {
"StringEquals": {
"dsql:WitnessRegion": [
"us-west-2"
]
}
}
}
]
}
