Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispielrichtlinien: Verwenden von Bedingungsschlüsseln
Im Folgenden finden Sie Beispiele dafür, wie Sie Bedingungsschlüssel in Aurora IAM Aurora-Berechtigungsrichtlinien verwenden können.
Beispiel 1: Erteilen der Berechtigung zum Erstellen einer DB-Instance mit einer bestimmten DB-Engine ohne Multi-AZ-Bereitstellung
Die folgende Richtlinie verwendet einen RDS Bedingungsschlüssel und ermöglicht es einem Benutzer, nur DB-Instances zu erstellen, die die My SQL Database-Engine verwenden und MultiAZ nicht verwenden. Das Condition
Element gibt die Anforderung an, dass es sich bei der Datenbank-Engine um My SQL handelt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowMySQLCreate", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "StringEquals": { "rds:DatabaseEngine": "mysql" }, "Bool": { "rds:MultiAz": false } } } ] }
Beispiel 2: Verweigern Sie ausdrücklich die Erlaubnis, DB-Instances für bestimmte DB-Instance-Klassen zu erstellen und DB-Instances zu erstellen, die Provisioned verwenden IOPS
Die folgende Richtlinie verweigert explizit die Berechtigung, DB-Instances für die DB-Instance-Klassen r3.8xlarge
und m4.10xlarge
zu erstellen, die zu den größten und teuersten DB-Instance-Klassen gehören. Diese Richtlinie verhindert auch, dass Benutzer DB-Instances erstellen, die Provisioned verwendenIOPS, was zusätzliche Kosten verursacht.
Eine explizit verweigerte Berechtigung überschreibt alle anderen erteilten Berechtigungen. So wird sichergestellt, dass Identitäten nicht aus Versehen eine Berechtigung erhalten, die Sie nie erteilen wollten.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyLargeCreate", "Effect": "Deny", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "StringEquals": { "rds:DatabaseClass": [ "db.r3.8xlarge", "db.m4.10xlarge" ] } } }, { "Sid": "DenyPIOPSCreate", "Effect": "Deny", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "NumericNotEquals": { "rds:Piops": "0" } } } ] }
Beispiel 3: Einschränken des Satzes von Tag-Schlüsseln und Werten, mit dem eine Ressource mit einem Tag versehen werden kann
Die folgende Richtlinie verwendet einen RDS Bedingungsschlüssel und ermöglicht das Hinzufügen eines Tags mit dem Schlüssel, der stage
zu einer Ressource mit den Werten test
qa
, und hinzugefügt werden soll. production
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource": "*", "Condition": { "streq": { "rds:req-tag/stage": [ "test", "qa", "production" ] } } } ] }