Criar clusters com políticas baseadas em recursos - Amazon Aurora DSQL

Criar clusters com políticas baseadas em recursos

Ao criar um cluster, você pode anexar políticas baseadas em recursos a fim de garantir que controles de acesso sejam implementados desde o início. Cada cluster pode ter uma única política em linha anexada diretamente ao cluster.

Como adicionar uma política baseada em recursos durante a criação de um cluster

  1. Inicie a sessão no Console de Gerenciamento da AWS e abra o console do Aurora DSQL em https://console.aws.amazon.com/dsql/.

  2. Selecione Criar cluster.

  3. Defina o nome do cluster, as marcações e as configurações multirregionais, conforme necessário.

  4. Na seção Configurações do cluster, localize a opção Política baseada em recursos.

  5. Ative Adicionar política baseada em recursos.

  6. Insira seu documento de política no editor JSON. Por exemplo, para bloquear o acesso público à Internet:

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Resource": "*",
      "Action": [
        "dsql:DbConnect",
        "dsql:DbConnectAdmin"
      ],
      "Condition": {
        "Null": {
          "aws:SourceVpc": "true"
        }
      }
    }
  ]
}

  7. Você pode usar Editar declaração ou Adicionar nova instrução para criar sua política.

  8. Conclua a configuração restante do cluster e escolha Criar cluster.

Use o parâmetro --policy ao criar um cluster para anexar uma política em linha:

aws dsql create-cluster --policy '{
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}'
Python
import boto3
import json

client = boto3.client('dsql')

policy = {
    "Version": "2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Principal": {"AWS": "*"},
        "Resource": "*",
        "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
        "Condition": { 
            "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
        }
    }]
}

response = client.create_cluster(
    policy=json.dumps(policy)
)

print(f"Cluster created: {response['identifier']}")
Java
import software.amazon.awssdk.services.dsql.DsqlClient;
import software.amazon.awssdk.services.dsql.model.CreateClusterRequest;
import software.amazon.awssdk.services.dsql.model.CreateClusterResponse;

DsqlClient client = DsqlClient.create();

String policy = """
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [{
    "Effect": "Deny",
    "Principal": {"AWS": "*"},
    "Resource": "*",
    "Action": ["dsql:DbConnect", "dsql:DbConnectAdmin"],
    "Condition": { 
      "StringNotEquals": { "aws:SourceVpc": "vpc-123456" } 
    }
  }]
}
""";

CreateClusterRequest request = CreateClusterRequest.builder()
    .policy(policy)
    .build();

CreateClusterResponse response = client.createCluster(request);
System.out.println("Cluster created: " + response.identifier());