本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Amazon Aurora DSQL 使用 IAM 條件金鑰
當您在 Aurora DSQL 中授予許可時,您可以指定決定許可政策如何生效的條件。以下是如何在 Aurora DSQL 許可政策中使用條件金鑰的範例。
範例 1:授予在特定 中建立叢集的許可 AWS 區域
下列政策授予在美國東部 (維吉尼亞北部) 和美國東部 (俄亥俄) 區域中建立叢集的許可。此政策使用資源 ARN 來限制允許的區域,因此 Aurora DSQL 只能在政策的 Resource區段中指定該 ARN 時建立叢集。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Action": ["dsql:CreateCluster"],
"Resource": [
"arn:aws:dsql:us-east-1:*:cluster/*",
"arn:aws:dsql:us-east-2:*:cluster/*"
],
"Effect": "Allow"
}
]
}
範例 2:授予在特定 AWS 區域中建立多區域叢集的許可
下列政策授予在美國東部 (維吉尼亞北部) 和美國東部 (俄亥俄) 區域中建立多區域叢集的許可。此政策使用資源 ARN 來限制允許的區域,因此 Aurora DSQL 只有在政策的 Resource區段中指定此 ARN 時,才能建立多區域叢集。請注意,建立多區域叢集還需要每個指定區域中的 PutWitnessRegion、 PutMultiRegionProperties和 AddPeerCluster許可。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:PutWitnessRegion",
"dsql:AddPeerCluster"
],
"Resource": [
"arn:aws:dsql:us-east-1:123456789012:cluster/*",
"arn:aws:dsql:us-east-2:123456789012:cluster/*"
]
}
]
}
範例 3:授予許可,以建立具有特定見證區域的多區域叢集
下列政策使用 Aurora DSQL dsql:WitnessRegion條件金鑰,並允許使用者在美國西部 (奧勒岡) 使用見證區域建立多區域叢集。如果您未指定dsql:WitnessRegion條件,您可以使用任何區域做為見證區域。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dsql:CreateCluster",
"dsql:PutMultiRegionProperties",
"dsql:AddPeerCluster"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*"
},
{
"Effect": "Allow",
"Action": [
"dsql:PutWitnessRegion"
],
"Resource": "arn:aws:dsql:*:123456789012:cluster/*",
"Condition": {
"StringEquals": {
"dsql:WitnessRegion": [
"us-west-2"
]
}
}
}
]
}
