Schritt 1: Erstellen einer IAM-Rolle für Ihre DB-Instance und Anfügen Ihrer Richtlinie Schritt 2: Erstellen einer Dateisystemrichtlinie für Ihr Amazon-EFS-Dateisystem Schritt 3: Zuordnen Ihrer IAM-Rolle zu Ihrer DB-Instance von RDS für Oracle

Konfigurieren von IAM-Berechtigungen für die Integration von RDS für Oracle in Amazon EFS

Standardmäßig verwendet die Amazon EFS-Integrationsfunktion keine IAM-Rolle: Die USE_IAM_ROLE Optionseinstellung istFALSE. Um RDS for Oracle mit Amazon EFS und einer IAM-Rolle zu integrieren, muss Ihre DB-Instance über IAM-Berechtigungen für den Zugriff auf ein Amazon EFS-Dateisystem verfügen.

Themen

Schritt 1: Erstellen einer IAM-Rolle für Ihre DB-Instance und Anfügen Ihrer Richtlinie
Schritt 2: Erstellen einer Dateisystemrichtlinie für Ihr Amazon-EFS-Dateisystem
Schritt 3: Zuordnen Ihrer IAM-Rolle zu Ihrer DB-Instance von RDS für Oracle

Schritt 1: Erstellen einer IAM-Rolle für Ihre DB-Instance und Anfügen Ihrer Richtlinie

Bei diesem Schritt erstellen Sie eine Rolle für Ihre DB-Instance von RDS für Oracle, um Amazon RDS den Zugriff auf Ihr EFS-Dateisystem zu ermöglichen.

So erstellen Sie eine IAM-Rolle, um Amazon RDS; den Zugriff auf ein EFS-Dateisystem zu ermöglichen

Öffnen Sie die IAM-Managementkonsole.
Wählen Sie im Navigationsbereich Rollen aus.
Wählen Sie Create role (Rolle erstellen) aus.
Wählen Sie für denAWS Service RDS aus.
Wählen Sie unter Select your use case (Anwendungsfall auswählen) die Option RDS – Add Role to Database (RDS – Rolle zur Datenbank hinzufügen) aus.
Wählen Sie Weiter aus.
Fügen Sie keine Berechtigungsrichtlinien hinzu. Wählen Sie Weiter aus.
Legen Sie unter Role Name (Rollenname) einen Namen für Ihre IAM-Rolle fest, zum Beispiel rds-efs-integration-role. Sie können auch einen optionalen Wert für Description (Beschreibung) hinzufügen.
Wählen Sie Rolle erstellen aus.

Wir empfehlen die Verwendung der globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount in ressourcenbasierten Vertrauensbeziehungen, um die Berechtigungen des Services auf eine bestimmte Ressource zu beschränken. Dies ist der effektivste Weg, um sich vor dem verwirrtes Stellvertreterproblem zu schützen.

Sie können beide globalen Bedingungskontextschlüssel verwenden und der Wert aws:SourceArn enthält die Konto-ID. Stellen Sie in diesen Fällen sicher, dass der Wert aws:SourceAccount und das Konto im Wert aws:SourceArn dieselbe Konto-ID verwenden, wenn sie in derselben Anweisung verwendet werden.

Verwenden von aws:SourceArn wenn Sie einen serviceübergreifenden Zugriff für eine einzelne Ressource wünschen.
Verwenden von aws:SourceAccount wenn Sie zulassen möchten, dass eine Ressource in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft wird.

Stellen Sie in der Vertrauensbeziehung sicher, dass Sie den globalen Bedingungskontextschlüssel aws:SourceArn mit dem vollständigen Amazon-Ressourcennamen (ARN) der Ressourcen verwenden, die auf die Rolle zugreifen.

Der folgende AWS CLI Befehl erstellt die rds-efs-integration-role für diesen Zweck benannte Rolle.

Beispiel

Für LinuxmacOS, oderUnix:


aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Windows:


aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer im IAM-Benutzerhandbuch.

Schritt 2: Erstellen einer Dateisystemrichtlinie für Ihr Amazon-EFS-Dateisystem

Bei diesem Schritt erstellen Sie eine Dateisystemrichtlinie für Ihr Amazon-EFS-Dateisystem.

So erstellen oder bearbeiten Sie eine Dateisystemrichtlinie

Öffnen Sie die EFS-Managementkonsole.
Wählen Sie File Systems (Dateisysteme) aus.
Wählen Sie auf der Seite File systems (Dateisysteme) das Dateisystem aus, für das Sie eine Dateisystemrichtlinie bearbeiten oder erstellen möchten. Die Detailseite für dieses Dateisystem wird angezeigt.
Wählen Sie die Registerkarte File system policy (Dateisystemrichtlinie) aus.

Wenn die Richtlinie leer ist, wird die standardmäßige EFS-Dateisystemrichtlinie verwendet. Weitere Informationen finden Sie unter Standardrichtlinie für das EFS-Dateisystem im Benutzerhandbuch für Amazon Elastic File System.
Wählen Sie Bearbeiten aus. Die Seite File system policy (Dateisystemrichtlinie) wird angezeigt.

Geben Sie im Policy editor (Richtlinien-Editor) eine Richtlinie wie die folgende ein, und wählen Sie dann Save (Speichern) aus.

Schritt 3: Zuordnen Ihrer IAM-Rolle zu Ihrer DB-Instance von RDS für Oracle

Bei diesem Schritt ordnen Sie Ihre IAM-Rolle Ihrer DB-Instance zu. Beachten Sie die folgenden Anforderungen:

Sie müssen Zugriff auf eine IAM-Rolle haben, der die erforderliche Amazon-EFS-Berechtigungsrichtlinie angefügt ist.
Sie können jeweils nur eine IAM-Rolle Ihrer DB-Instance von RDS für Oracle hinzufügen.
Der Status Ihrer Instance muss Available lauten.

Weitere Informationen finden Sie unter Identity and Access Management für Amazon EFS im Benutzerhandbuch für Amazon Elastic File System.

So ordnen Sie Ihre IAM-Rolle Ihrer DB-Instance von RDS for Oracle zu

Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie Datenbanken aus.
Wenn Ihre Datenbank-Instance nicht verfügbar ist, wählen Sie die Option Aktionen und anschließend Starten. Sobald der Instance-Status Gestartet lautet, fahren Sie mit dem nächsten Schritt fort.
Wählen Sie den Namen der Oracle DB-Instance aus, um deren Details anzuzeigen.
Auf derKonnektivität & SicherheitScrollen Sie nach unten zumIAM-Rollen verwaltenunten auf der Seite.
Wählen Sie die Rolle aus, die Sie hinzufügen möchten in Fügen Sie dieser Instanz IAM-Rollen hinzu.
Wählen Sie unter Feature (Funktion) die Option EFS_INTEGRATION aus.
Wählen Sie Rolle hinzufügen aus.

Der folgende AWS CLI Befehl fügt die Rolle einer Oracle-DB-Instance mit dem Namen hinzumydbinstance.

Beispiel

Für LinuxmacOS, oderUnix:


aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn

Windows:


aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn

Ersetzen Sie your-role-arn durch den Rollen-ARN, den Sie im vorherigen Schritt notiert haben. Für die Option EFS_INTEGRATION muss --feature-name angegeben werden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfigurieren von Netzwerkberechtigungen

Die EFS Option wird hinzugefügt