如何定义 IAM 策略以有效地要求 DbName?
我正在尝试做的是只允许使用指定的白名单 DbName 进行 GetClusterCredentials 调用。 问题是 DbName 参数是可选的。 我还指定了 DbUser 资源,以便我可以在 IAM 策略条件中引用${redshift:DbUser}。
GetClusterCredentials 支持的条件键之一是redshift:DbName,可用于根据数据库名称限制 IAM 策略。例如,如果 DbName 未设置为"test-db",则以下策略语句应拒绝该操作。
{
"Sid": "GetClusterCredsStatement",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:us-west-2:123456789012:dbname:examplecluster/*"
],
"Condition": {
"StringEquals": {
"redshift:DbName": "test-db"
}
}
}