Zuweisen einer IAM-Rolle zu einem Amazon-Aurora-MySQL-DB-Cluster - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zuweisen einer IAM-Rolle zu einem Amazon-Aurora-MySQL-DB-Cluster

Weisen Sie die IAM-Rolle, die Sie in Erstellen einer IAM-Rolle, um Amazon Aurora den Zugriff auf AWS-Services zu erlauben erstellt haben, einem DB-Cluster zu, um Datenbankbenutzern in diesem DB-Cluster von Amazon Aurora den Zugriff auf andere AWS-Services zu erlauben. Sie können auch eine neue IAM-Rolle durch AWS erstellen lassen, indem Sie den Service direkt zuordnen.

Anmerkung

Sie können keine IAM-Rolle mit einem Aurora Serverless v1-DB-Cluster verknüpfen. Weitere Informationen finden Sie unter Verwenden von Amazon Aurora Serverless v1.

Sie können eine IAM-Rolle mit einem DB-Cluster von Aurora Serverless v2verknüpfen.

Sie müssen zwei Dinge tun, um eine IAM-Rolle mit einem DB-Cluster zu verbinden:

  1. Fügen Sie die Rolle zu der Liste mit den zugewiesenen Rollen für ein DB-Cluster mithilfe der RDS-Konsole und dem AWS CLI-Befehl add-role-to-db-cluster oder der RDS-API-Operation AddRoleToDBCluster hinzu.

    Sie können maximal fünf IAM-Rollen für jeden Aurora-DB-Cluster hinzufügen.

  2. Stellen Sie den Cluster-Level-Parameter für den zugehörigen AWS-Service auf den ARN für die zugeordnete IAM-Rolle ein.

    Die folgende Tabelle beschreibt die Cluster-Level-Parameter-Namen für die IAM-Rollen, die für den Zugriff auf andere AWS-Services verwendet werden.

    Parameter auf Clusterebene Beschreibung

    aws_default_lambda_role

    Wird beim Aufrufen einer Lambda-Funktion aus dem DB-Cluster verwendet.

    aws_default_logs_role

    Dieser Parameter ist nicht mehr erforderlich, um Protokolldaten von Ihrem DB-Cluster in Amazon CloudWatch Logs zu exportieren. Aurora MySQL verwendet jetzt eine serviceverknüpfte Rolle für die erforderlichen Berechtigungen. Weitere Informationen zu Service-verknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Aurora.

    aws_default_s3_role

    Wird beim Aufrufen der Anweisung LOAD DATA FROM S3, LOAD XML FROM S3 oder SELECT INTO OUTFILE S3 aus Ihrem DB-Cluster verwendet.

    Bei Aurora-MySQL-Version 2 wird die in diesem Parameter festgelegte IAM-Rolle verwendet, wenn keine IAM-Rolle für aurora_load_from_s3_role oder aurora_select_into_s3_role für die entsprechende Anweisung festgelegt ist.

    Bei Aurora-MySQL-Version 3 wird die für diesen Parameter festgelegte IAM-Rolle immer verwendet.

    aurora_load_from_s3_role

    Wird beim Aufrufen der Anweisung LOAD DATA FROM S3 oder LOAD XML FROM S3 aus Ihrem DB-Cluster verwendet. Wenn keine IAM-Rolle für diesen Parameter festgelegt ist, wird die in aws_default_s3_role festgelegte IAM-Rolle verwendet.

    Bei Aurora MySQL Version 3 ist dieser Parameter nicht verfügbar.

    aurora_select_into_s3_role

    Wird beim Aufrufen der Anweisung SELECT INTO OUTFILE S3 aus Ihrem DB-Cluster verwendet. Wenn keine IAM-Rolle für diesen Parameter festgelegt ist, wird die in aws_default_s3_role festgelegte IAM-Rolle verwendet.

    Bei Aurora MySQL Version 3 ist dieser Parameter nicht verfügbar.

Gehen Sie wie folgt vor, um einer IAM-Rolle die Erlaubnis, Ihrem Amazon-RDS-Cluster die Kommunikation mit anderen AWS-Services für Sie zu ermöglichen, zuzuweisen.

Sie müssen zwei Dinge tun, um eine IAM-Rolle einem Aurora-DB-Cluster mithilfe der Konsole zuzuweisen:
  1. Öffnen Sie die RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie Datenbanken aus.

  3. Wählen Sie den Namen des Aurora-DB-Clusters, den Sie einer IAM-Rolle zuweisen möchten, aus, um die entsprechenden Details anzuzeigen.

  4. Führen Sie auf der Registerkarte Konnektivität und Sicherheit im Abschnitt IAM-Rollen verwalten eine der folgenden Aktionen aus:

    • IAM-Rollen auswählen, die diesem Cluster hinzugefügt werden sollen (Standard)

    • Einen Service zum Herstellen einer Verbindung mit diesem Cluster auswählen

    
                                        Zuweisen einer IAM-Rolle zu einem DB-Cluster
  5. Wenn Sie eine vorhandene IAM-Rolle verwenden möchten, wählen Sie diese aus dem Menü aus und klicken Sie dann auf Add role (Rolle hinzufügen).

    Wenn die Rolle erfolgreich hinzugefügt wurde, wird ihr Status als Pending und dann als Available angezeigt.

  6. So verbinden Sie einen Service direkt:

    1. Wählen Sie Select a service to connect to this cluster (Einen Service zum Herstellen einer Verbindung mit diesem Cluster auswählen) aus.

    2. Wählen Sie den Service aus dem Menü aus und klicken Sie dann auf Connect service (Service verbinden).

    3. Geben Sie unter Connect cluster to Service Name (Cluster mit „Servicename“ verbinden) den Amazon-Ressourcennamen (ARN) ein, der für die Verbindung mit dem Service verwendet werden soll, und wählen Sie dann Connect service (Service verbinden) aus.

    AWS erstellt eine neue IAM-Rolle für die Verbindung mit dem Service. Der Status wird als Pending und dann als Available angezeigt.

  7. (Optional) Wenn Sie die Zuordnung einer IAM-Rolle mit einem DB-Cluster aufheben und die zugehörige Berechtigung entziehen möchten, wählen Sie die Rolle und dann Delete (Löschen) aus.

So legen Sie den Cluster-Level-Parameter für die zugeordnete Rolle fest
  1. Wählen Sie in der RDS-Konsole Parametergruppen im Navigationsbereich aus.

  2. Wenn Sie bereits eine benutzerdefinierte DB-Parametergruppe verwenden, können Sie diese Gruppe auswählen, statt eine neue DB-Cluster-Parametergruppe zu erstellen. Wenn Sie die Standard-DB-Cluster-Parametergruppe verwenden, erstellen Sie eine neue DB-Cluster-Parametergruppe, wie in den folgenden Schritten beschrieben ist:

    1. Wählen Sie Parametergruppe erstellen.

    2. Wählen Sie für Parametergruppenfamilie für einen mit Aurora MySQL 5.6 kompatiblen DB-Cluster aurora-mysql8.0, oder aurora-mysql5.7 für einen mit Aurora MySQL 5.7 kompatiblen DB-Cluster.

    3. Wählen Sie für Typ die Option DB-Cluster-Parametergruppe.

    4. Geben Sie für Gruppenname den Namen Ihrer neuen DB-Cluster-Parametergruppe ein.

    5. Geben Sie unter Beschreibung die Beschreibung für Ihre neue DB-Cluster-Parametergruppe ein.

      
                                                Erstellen einer DB-Cluster-Parametergruppe
    6. Wählen Sie Create aus.

  3. Wählen Sie auf der Seite Parameter Groups (Parametergruppen) Ihre DB-Cluster-Parametergruppe und danach die Option Edit (Bearbeiten) unter Parameter group actions (Parametergruppenaktionen) aus.

  4. Legen Sie die entsprechenden Cluster-Level-Parameter für die zugehörigen ARN-Werte der IAM-Rolle fest.

    Sie können beispielsweise den Parameter aws_default_s3_role auf arn:aws:iam::123456789012:role/AllowS3Access einstellen.

  5. Wählen Sie Änderungen speichern.

  6. Um die DB-Cluster-Parametergruppe für Ihren DB-Cluster zu ändern, führen Sie die folgenden Schritte aus:

    1. Wählen Sie Datenbanken aus und wählen Sie dann Ihren Aurora DB-Cluster aus.

    2. Wählen Sie Ändern aus.

    3. Blättern Sie zu Datenbankoptionen und legen Sie DB-Cluster-Parametergruppe auf die DB-Cluster-Parametergruppe fest.

    4. Klicken Sie auf Weiter.

    5. Überprüfen Sie Ihre Änderungen, und klicken Sie anschließend auf Sofort anwenden.

    6. Wählen Sie Modify Cluster (Cluster ändern) aus.

    7. Wählen Sie Databases (Datenbanken) und anschließend die primäre Instance für Ihren DB-Cluster aus.

    8. Wählen Sie unter Aktionen die Option Neustart aus.

      Wenn die Instance neu gestartet wurde, wird Ihre IAM-Rolle Ihrem DB-Cluster zugewiesen.

      Weitere Informationen zu Cluster-Parametergruppen finden Sie unter Aurora MySQL Konfigurationsparameter.

So weisen Sie eine IAM-Rolle einem DB-Cluster mithilfe der AWS CLI zu:
  1. Rufen Sie den Befehl add-role-to-db-cluster aus der AWS CLI auf, um die ARNs für Ihre IAM-Rollen zum DB-Cluster hinzuzufügen, wie im Folgenden gezeigt.

    PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole
  2. Wenn Sie die Standard-DB-Cluster-Parametergruppe verwenden, erstellen Sie eine neue DB-Cluster-Parametergruppe. Wenn Sie bereits eine benutzerdefinierte DB-Parametergruppe verwenden, können Sie diese Gruppe verwenden, anstatt eine neue DB-Cluster-Parametergruppe zu erstellen.

    Rufen Sie den Befehl create-db-cluster-parameter-group aus der AWS CLI auf, um eine neue DB-Cluster-Parametergruppe zu erstellen, wie im Folgenden gezeigt.

    PROMPT> aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \ --db-parameter-group-family aurora5.7 --description "Allow access to Amazon S3 and AWS Lambda"

    Für einen mit Aurora MySQL 5.7 kompatiblen DB-Cluster geben Sie aurora-mysql5.7 für --db-parameter-group-family an. Für einen mit Aurora MySQL 8.0 kompatiblen DB-Cluster geben Sie aurora-mysql8.0 für --db-parameter-group-family an.

  3. Stellen Sie den/die entsprechenden Cluster-Level-Parameter und die zugehörigen ARN-Werte der IAM-Rolle in Ihrer DB-Cluster-Parametergruppe ein, wie im Folgenden gezeigt.

    PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \ --parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \ --parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"
  4. Ändern Sie das DB-Cluster, um die neue DB-Clusterparametergruppe zu verwenden und starten Sie das Cluster anschließend neu, wie im Folgenden gezeigt.

    PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary

    Wenn die Instance neu gestartet ist, sind Ihre IAM-Rollen Ihrem DB-Cluster zugewiesen.

    Weitere Informationen zu Cluster-Parametergruppen finden Sie unter Aurora MySQL Konfigurationsparameter.