Contoh 1: Memberikan izin untuk membuat instans DB yang menggunakan mesin DB spesifik dan tidak berupa Multi-AZ Contoh 2: Secara eksplisit menolak izin untuk membuat instance DB untuk kelas instans DB tertentu dan membuat instance DB yang menggunakan Provisioned IOPS Contoh 3: Membatasi kumpulan kunci dan nilai tag yang dapat digunakan untuk menandai sumber daya

Contoh Kebijakan: Menggunakan kunci kondisi

Berikut ini adalah contoh bagaimana Anda dapat menggunakan kunci kondisi dalam kebijakan IAM izin Amazon RDS .

Contoh 1: Memberikan izin untuk membuat instans DB yang menggunakan mesin DB spesifik dan tidak berupa Multi-AZ

Kebijakan berikut menggunakan kunci RDS kondisi dan memungkinkan pengguna hanya membuat instance DB yang menggunakan mesin SQL database Saya dan tidak menggunakan MultiAZ. ConditionElemen menunjukkan persyaratan bahwa mesin database adalah MySQL.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AllowMySQLCreate",
         "Effect": "Allow",
         "Action": "rds:CreateDBInstance",
         "Resource": "*",
         "Condition": {
            "StringEquals": {
               "rds:DatabaseEngine": "mysql"
            },
            "Bool": {
               "rds:MultiAz": false
            }
         }
      }
   ]
}

Contoh 2: Secara eksplisit menolak izin untuk membuat instance DB untuk kelas instans DB tertentu dan membuat instance DB yang menggunakan Provisioned IOPS

Kebijakan berikut secara eksplisit menolak izin untuk membuat instans DB yang menggunakan kelas instans DB r3.8xlarge dan m4.10xlarge, yang merupakan kelas instans DB terbesar dan termahal. Kebijakan ini juga mencegah pengguna membuat instans DB yang menggunakan ProvisionedIOPS, yang menimbulkan biaya tambahan.

Izin yang secara tegas menolak lebih diprioritaskan daripada izin lain yang diberikan. Ini memastikan bahwa identitas tidak akan secara kebetulan mendapatkan izin yang tidak pernah ingin Anda berikan.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyLargeCreate",
         "Effect": "Deny",
         "Action": "rds:CreateDBInstance",
         "Resource": "*",
         "Condition": {
            "StringEquals": {
               "rds:DatabaseClass": [
                  "db.r3.8xlarge",
                  "db.m4.10xlarge"
               ]
            }
         }
      },
      {
         "Sid": "DenyPIOPSCreate",
         "Effect": "Deny",
         "Action": "rds:CreateDBInstance",
         "Resource": "*",
         "Condition": {
            "NumericNotEquals": {
               "rds:Piops": "0"
            }
         }
      }
   ]
}

Contoh 3: Membatasi kumpulan kunci dan nilai tag yang dapat digunakan untuk menandai sumber daya

Kebijakan berikut menggunakan kunci RDS kondisi dan memungkinkan penambahan tag dengan kunci stage untuk ditambahkan ke sumber daya dengan nilaitest,qa, danproduction.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "rds:AddTagsToResource",
            "rds:RemoveTagsFromResource"
         ],
         "Resource": "*",
         "Condition": {
            "streq": {
               "rds:req-tag/stage": [
                  "test",
                  "qa",
                  "production"
               ]
            }
         }
      }
   ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kebijakan izin untuk membuat, memodifikasi, dan menghapus sumber daya di RDS

Menggunakan tag kustom