リソースベースのポリシーを使用したクラスターの作成 - Amazon Aurora DSQL

リソースベースのポリシーを使用したクラスターの作成

新しいクラスターを作成するときにリソースベースのポリシーをアタッチして、最初から確実にアクセス制御を実行できます。各クラスターには、クラスターに直接アタッチされた 1 つのインラインポリシーを設定できます。

クラスターの作成中にリソースベースのポリシーを追加するには

  1. AWS マネジメントコンソールにサインインして Aurora DSQL コンソール (https://console.aws.amazon.com/dsql/) を開きます。

  2. [クラスターを作成] を選択します。

  3. 必要に応じて、クラスター名、タグ、マルチリージョン設定を設定します。

  4. [クラスター設定] セクションで、[リソースベースのポリシー] オプションを見つけます。

  5. [リソースベースのポリシーを追加] を有効にします。

  6. JSON エディタで、ポリシードキュメントを入力します。例えば、パブリックインターネットアクセスをブロックするには、次のとおりにします。

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "dsql:DbConnect",
        "dsql:DbConnectAdmin"
      ],
      "Condition": {
        "Null": {
          "aws:SourceVpc": "true"
        }
      }
    }
  ]
}

  7. [ステートメントを編集] または [新しいステートメントを追加] を使用してポリシーを作成できます。

  8. 残りのクラスター設定を完了し、[クラスターを作成] を選択します。

クラスターを作成するときに --policy パラメータを使用して、インラインポリシーをアタッチします。

aws dsql create-cluster --policy '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}'
Python
import boto3
import json

client = boto3.client('dsql')

policy = {
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}

response = client.create_cluster(
    policy=json.dumps(policy)
)

print(f"Cluster created: {response['identifier']}")
Java
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.CreateClusterRequest;
import software.amazon.awssdk.services.dsql.model.CreateClusterResponse;

DsqlClient client = DsqlClient.create();

String policy = """
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [{
    "Effect": "Deny",
    "Principal": {"AWS": "*"},
    "Resource": "*",
    "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
    "Condition": { 
      "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
    }
  }]
}
""";

CreateClusterRequest request = CreateClusterRequest.builder()
    .policy(policy)
    .build();

CreateClusterResponse response = client.createCluster(request);
System.out.println("Cluster created: " + response.identifier());