Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Policy di esempio: Utilizzo di chiavi di condizione
Di seguito sono riportati alcuni esempi di come è possibile utilizzare le chiavi di condizione nelle di IAM autorizzazione di RDS Amazon Aurora.
Esempio 1: Concessione dell'autorizzazione per creare un'istanza database che utilizza un motore del database specifico e non è Multi-AZ
La seguente politica utilizza una chiave di RDS condizione e consente a un utente di creare solo istanze DB che utilizzano il motore di SQL database My e non utilizzano MultiaZ. L'Condition
elemento indica il requisito che il motore di database sia My. SQL
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowMySQLCreate", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "StringEquals": { "rds:DatabaseEngine": "mysql" }, "Bool": { "rds:MultiAz": false } } } ] }
Esempio 2: negare esplicitamente l'autorizzazione alla creazione di istanze DB per determinate classi di istanze DB e creare istanze DB che utilizzano Provisioned IOPS
La policy seguente rifiuta in modo esplicito l'autorizzazione per creare istanze database che utilizzano le classi di istanze database r3.8xlarge
e m4.10xlarge
, che sono le istanze database di dimensioni maggiori e più costose. Questa politica impedisce inoltre agli utenti di creare istanze DB che utilizzano ProvisionedIOPS, il che comporta un costo aggiuntivo.
Il rifiuto esplicito di un'autorizzazione prevale su qualsiasi altra autorizzazione concessa. In questo modo si evita che le identità ottengano accidentalmente un'autorizzazione che non desideravi concedere.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyLargeCreate", "Effect": "Deny", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "StringEquals": { "rds:DatabaseClass": [ "db.r3.8xlarge", "db.m4.10xlarge" ] } } }, { "Sid": "DenyPIOPSCreate", "Effect": "Deny", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "NumericNotEquals": { "rds:Piops": "0" } } } ] }
Esempio 3: limita il set di chiavi di tag e valori che possono essere utilizzati per aggiungere tag a una risorsa
La seguente politica utilizza una chiave di RDS condizione e consente l'aggiunta di un tag con la chiave stage
da aggiungere a una risorsa con i valoritest
, qa
e. production
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource": "*", "Condition": { "streq": { "rds:req-tag/stage": [ "test", "qa", "production" ] } } } ] }