Erstellen von Clustern mit ressourcenbasierten Richtlinien - Amazon Aurora DSQL

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Clustern mit ressourcenbasierten Richtlinien

Sie können beim Erstellen eines neuen Clusters ressourcenbasierte Richtlinien anhängen, um sicherzustellen, dass die Zugriffskontrollen von Anfang an vorhanden sind. Jedem Cluster kann eine einzelne Inline-Richtlinie direkt an den Cluster angehängt werden.

Um bei der Clustererstellung eine ressourcenbasierte Richtlinie hinzuzufügen

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Aurora DSQL-Konsole unter https://console.aws.amazon.com/dsql/.

  2. Wählen Sie Cluster erstellen.

  3. Konfigurieren Sie Ihren Clusternamen, Ihre Tags und Einstellungen für mehrere Regionen nach Bedarf.

  4. Suchen Sie im Abschnitt Clustereinstellungen nach der Option Ressourcenbasierte Richtlinie.

  5. Aktivieren Sie die Option Ressourcenbasierte Richtlinie hinzufügen.

  6. Geben Sie Ihr Richtliniendokument im JSON-Editor ein. Um beispielsweise den öffentlichen Internetzugang zu blockieren:

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "dsql:DbConnect",
        "dsql:DbConnectAdmin"
      ],
      "Condition": {
        "Null": {
          "aws:SourceVpc": "true"
        }
      }
    }
  ]
}

  7. Sie können die Option Aussage bearbeiten oder Neue Erklärung hinzufügen verwenden, um Ihre Richtlinie zu erstellen.

  8. Schließen Sie die verbleibende Clusterkonfiguration ab und wählen Sie Create cluster aus.

Verwenden Sie den --policy Parameter beim Erstellen eines Clusters, um eine Inline-Richtlinie anzuhängen:

aws dsql create-cluster --policy '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}'
Python
import boto3
import json

client = boto3.client('dsql')

policy = {
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}

response = client.create_cluster(
    policy=json.dumps(policy)
)

print(f"Cluster created: {response['identifier']}")
Java
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.CreateClusterRequest;
import software.amazon.awssdk.services.dsql.model.CreateClusterResponse;

DsqlClient client = DsqlClient.create();

String policy = """
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [{
    "Effect": "Deny",
    "Principal": {"AWS": "*"},
    "Resource": "*",
    "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
    "Condition": { 
      "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
    }
  }]
}
""";

CreateClusterRequest request = CreateClusterRequest.builder()
    .policy(policy)
    .build();

CreateClusterResponse response = client.createCluster(request);
System.out.println("Cluster created: " + response.identifier());