Creación de clústeres con políticas basadas en recursos - Amazon Aurora DSQL

Creación de clústeres con políticas basadas en recursos

Puede adjuntar políticas basadas en recursos al crear un nuevo clúster para garantizar que los controles de acceso estén implementados desde el principio. Cada clúster puede tener una única política insertada adjunta directamente al clúster.

Agregación de una política basada en recursos durante la creación del clúster

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de Aurora DSQL en https://console.aws.amazon.com/dsql/.

  2. Elija Create cluster.

  3. Configure el nombre, las etiquetas y los ajustes multirregionales del clúster según sea necesario.

  4. En la sección Configuración del clúster, busque la opción de política basada en recursos.

  5. Active Agregar una política basada en recursos.

  6. Ingrese el documento de la política en el editor JSON. Por ejemplo, para bloquear el acceso público a Internet:

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "dsql:DbConnect",
        "dsql:DbConnectAdmin"
      ],
      "Condition": {
        "Null": {
          "aws:SourceVpc": "true"
        }
      }
    }
  ]
}

  7. Puede usar Editar instrucción o Agregar nueva instrucción para crear la política.

  8. Complete la configuración del clúster restante y elija Crear clúster.

Utilice el parámetro --policy al crear un clúster para adjuntar una política insertada:

aws dsql create-cluster --policy '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}'
Python
import boto3
import json

client = boto3.client('dsql')

policy = {
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}

response = client.create_cluster(
    policy=json.dumps(policy)
)

print(f"Cluster created: {response['identifier']}")
Java
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.CreateClusterRequest;
import software.amazon.awssdk.services.dsql.model.CreateClusterResponse;

DsqlClient client = DsqlClient.create();

String policy = """
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [{
    "Effect": "Deny",
    "Principal": {"AWS": "*"},
    "Resource": "*",
    "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
    "Condition": { 
      "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
    }
  }]
}
""";

CreateClusterRequest request = CreateClusterRequest.builder()
    .policy(policy)
    .build();

CreateClusterResponse response = client.createCluster(request);
System.out.println("Cluster created: " + response.identifier());