Création de clusters avec des politiques basées sur les ressources - Amazon Aurora DSQL

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de clusters avec des politiques basées sur les ressources

Vous pouvez associer des politiques basées sur les ressources lors de la création d'un nouveau cluster afin de garantir que les contrôles d'accès sont en place dès le départ. Chaque cluster peut avoir une seule politique intégrée directement attachée au cluster.

Pour ajouter une politique basée sur les ressources lors de la création du cluster

  1. Connectez-vous à la console de AWS gestion et ouvrez la console Aurora DSQL à l'https://console.aws.amazon.com/dsql/adresse.

  2. Choisissez Créer un cluster.

  3. Configurez le nom de votre cluster, les balises et les paramètres multirégionaux selon vos besoins.

  4. Dans la section Paramètres du cluster, recherchez l'option de stratégie basée sur les ressources.

  5. Activez Ajouter une politique basée sur les ressources.

  6. Entrez votre document de politique dans l'éditeur JSON. Par exemple, pour bloquer l'accès public à Internet :

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "dsql:DbConnect",
        "dsql:DbConnectAdmin"
      ],
      "Condition": {
        "Null": {
          "aws:SourceVpc": "true"
        }
      }
    }
  ]
}

  7. Vous pouvez utiliser Modifier la déclaration ou Ajouter une nouvelle déclaration pour élaborer votre politique.

  8. Terminez la configuration de cluster restante et choisissez Create cluster.

Utilisez le --policy paramètre lors de la création d'un cluster pour associer une politique en ligne :

aws dsql create-cluster --policy '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}'
Python
import boto3
import json

client = boto3.client('dsql')

policy = {
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}

response = client.create_cluster(
    policy=json.dumps(policy)
)

print(f"Cluster created: {response['identifier']}")
Java
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.CreateClusterRequest;
import software.amazon.awssdk.services.dsql.model.CreateClusterResponse;

DsqlClient client = DsqlClient.create();

String policy = """
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [{
    "Effect": "Deny",
    "Principal": {"AWS": "*"},
    "Resource": "*",
    "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
    "Condition": { 
      "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
    }
  }]
}
""";

CreateClusterRequest request = CreateClusterRequest.builder()
    .policy(policy)
    .build();

CreateClusterResponse response = client.createCluster(request);
System.out.println("Cluster created: " + response.identifier());