Mengaitkan peran IAM dengan klaster DB Amazon Aurora MySQL - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaitkan peran IAM dengan klaster DB Amazon Aurora MySQL

Untuk mengizinkan pengguna basis data di klaster DB Amazon Aurora untuk mengakses layanan AWS lainnya, Anda perlu mengaitkan peran IAM yang Anda buat di Membuat peran IAM untuk mengizinkan Amazon Aurora mengakses layanan AWS dengan klaster DB tersebut. Anda juga dapat meminta AWS untuk membuat peran IAM baru dengan mengaitkan layanan secara langsung.

catatan

Anda tidak dapat mengaitkan peran IAM dengan klaster DB Aurora Serverless v1. Untuk informasi selengkapnya, lihat Menggunakan Amazon Aurora Serverless v1.

Anda dapat mengaitkan peran IAM dengan klaster DB Aurora Serverless v2.

Untuk mengaitkan peran IAM dengan klaster DB, lakukan dua hal berikut:

  1. Tambahkan peran ke daftar peran terkait untuk klaster DB dengan menggunakan konsol RDS, perintah add-role-to-db-cluster AWS CLI, atau operasi API RDS AddRoleToDBCluster.

    Anda dapat menambahkan maksimum lima peran IAM untuk setiap klaster DB Aurora.

  2. Atur parameter tingkat klaster untuk layanan AWS terkait ke ARN untuk peran IAM terkait.

    Tabel berikut menjelaskan nama parameter tingkat klaster untuk peran IAM yang digunakan untuk mengakses layanan AWS lainnya.

    Parameter tingkat klaster Deskripsi

    aws_default_lambda_role

    Digunakan saat menginvokasi fungsi Lambda dari klaster DB Anda.

    aws_default_logs_role

    Parameter ini tidak lagi diperlukan untuk mengekspor data log dari klaster DB Anda ke Log Amazon CloudWatch. Aurora MySQL sekarang menggunakan peran terkait layanan untuk izin yang diperlukan. Untuk mengetahui informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan untuk Amazon Aurora.

    aws_default_s3_role

    Digunakan saat menginvokasi pernyataan LOAD DATA FROM S3, LOAD XML FROM S3, atau SELECT INTO OUTFILE S3 dari klaster DB Anda.

    Di Aurora MySQL versi 2, peran IAM yang ditentukan dalam parameter ini akan digunakan jika peran IAM tidak ditentukan untuk aurora_load_from_s3_role atau aurora_select_into_s3_role untuk pernyataan yang sesuai.

    Di Aurora MySQL versi 3, peran IAM yang ditentukan untuk parameter ini selalu digunakan.

    aurora_load_from_s3_role

    Digunakan saat menginvokasi pernyataan LOAD DATA FROM S3 atau LOAD XML FROM S3 dari klaster DB Anda. Jika peran IAM tidak ditentukan untuk parameter ini, peran IAM yang ditentukan dalam aws_default_s3_role akan digunakan.

    Di Aurora MySQL versi 3, parameter ini tidak tersedia.

    aurora_select_into_s3_role

    Digunakan saat menginvokasi pernyataan SELECT INTO OUTFILE S3 dari klaster DB Anda. Jika peran IAM tidak ditentukan untuk parameter ini, peran IAM yang ditentukan dalam aws_default_s3_role akan digunakan.

    Di Aurora MySQL versi 3, parameter ini tidak tersedia.

Untuk mengaitkan peran IAM untuk mengizinkan klaster Amazon RDS Anda berkomunikasi dengan layanan AWS lain atas nama Anda, lakukan langkah-langkah berikut.

Untuk mengaitkan peran IAM dengan klaster DB Aurora menggunakan konsol

  1. Buka konsol RDS di https://console.aws.amazon.com/rds/.

  2. Pilih Basis data.

  3. Pilih nama klaster DB Aurora yang ingin Anda kaitkan dengan peran IAM untuk menampilkan detailnya.

  4. Pada tab Konektivitas & keamanan, di bagian Kelola peran IAM, lakukan salah satu hal berikut:

    • Pilih peran IAM untuk ditambahkan ke klaster ini (default)

    • Pilih layanan untuk dihubungkan ke klaster ini

    Kaitkan peran IAM dengan klaster DB

  5. Untuk menggunakan peran IAM yang ada, pilih peran IAM tersebut dari menu, lalu pilih Tambahkan peran.

    Jika penambahan peran berhasil, statusnya menunjukkan Pending, lalu Available.

  6. Untuk menghubungkan layanan secara langsung:

    1. Klik Pilih layanan untuk dihubungkan ke klaster ini.

    2. Pilih layanannya dari menu, lalu pilih Hubungkan layanan.

    3. Untuk Hubungkan klaster ke Nama Layanan, masukkan Amazon Resource Name (ARN) yang akan digunakan untuk terhubung ke layanan tersebut, lalu pilih Hubungkan layanan.

    AWS membuat peran IAM baru untuk menghubungkan ke layanan. Statusnya menunjukkan Pending, lalu Available.

  7. (Opsional) Untuk berhenti mengaitkan peran IAM dengan klaster DB dan menghapus izin terkait, pilih peran dan pilih Hapus.

Untuk mengatur parameter tingkat klaster untuk peran IAM terkait

  1. Di konsol RDS, pilih Grup parameter di panel navigasi.

  2. Jika Anda sudah menggunakan grup parameter DB kustom, Anda dapat memilih grup tersebut untuk digunakan daripada membuat grup parameter klaster DB baru. Jika Anda menggunakan grup parameter klaster DB default, buat grup parameter klaster DB baru, seperti yang dijelaskan di langkah-langkah berikut:

    1. Pilih Buat grup parameter.

    2. Untuk Rangkaian grup parameter, pilih aurora-mysql8.0 untuk klaster DB yang kompatibel dengan Aurora MySQL 8.0, atau aurora-mysql5.7 untuk klaster DB yang kompatibel dengan Aurora MySQL 5.7.

    3. Untuk Jenis, pilih Grup Parameter Klaster DB.

    4. Untuk Nama grup, ketik nama grup parameter klaster DB baru Anda.

    5. Untuk Deskripsi, ketik deskripsi untuk grup parameter klaster DB baru Anda.

      Buat grup parameter klaster DB

    6. Pilih Buat.

  3. Pada halaman Grup parameter, pilih grup parameter klaster DB Anda dan pilih Edit untuk Tindakan grup parameter.

  4. Tetapkan parameter tingkat klaster yang sesuai ke nilai ARN milik peran IAM terkait.

    Misalnya, Anda hanya dapat mengatur parameter aws_default_s3_role ke arn:aws:iam::123456789012:role/AllowS3Access.

  5. Pilih Simpan perubahan.

  6. Untuk mengubah grup parameter klaster DB untuk klaster DB Anda, selesaikan langkah-langkah berikut:

    1. Pilih Basis data, lalu pilih klaster DB Aurora Anda.

    2. Pilih Ubah.

    3. Gulir ke Opsi basis data dan tetapkan Grup parameter klaster DB ke grup parameter klaster DB.

    4. Pilih Lanjutkan.

    5. Verifikasi perubahan Anda, lalu pilih Terapkan segera.

    6. Pilih Ubah klaster.

    7. Pilih Basis data, lalu pilih instans primer untuk klaster DB Anda.

    8. Untuk Tindakan, pilih Boot ulang.

      Saat instans di-boot ulang, peran IAM Anda dikaitkan dengan klaster DB Anda.

      Untuk informasi selengkapnya tentang grup parameter klaster, lihat Parameter konfigurasi Aurora MySQL.

Untuk mengaitkan peran IAM dengan klaster DB menggunakan AWS CLI

  1. Panggil perintah add-role-to-db-cluster dari AWS CLI untuk menambahkan ARN untuk peran IAM Anda ke klaster DB, seperti yang ditunjukkan berikut. 

    PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole

  2. Jika Anda menggunakan grup parameter klaster DB default, buat grup parameter klaster DB baru. Jika Anda sudah menggunakan grup parameter DB kustom, Anda dapat menggunakan grup tersebut untuk digunakan daripada membuat grup parameter klaster DB baru.

    Untuk membuat grup parameter klaster DB baru, panggil perintah create-db-cluster-parameter-group dari AWS CLI, seperti yang ditunjukkan berikut.

    PROMPT> aws rds create-db-cluster-parameter-group  --db-cluster-parameter-group-name AllowAWSAccess \
     --db-parameter-group-family aurora5.7 --description "Allow access to Amazon S3 and AWS Lambda"

    Untuk klaster DB yang kompatibel dengan Aurora MySQL 5.7, tentukan aurora-mysql5.7 untuk --db-parameter-group-family. Untuk klaster DB yang kompatibel dengan Aurora MySQL 8.0, tentukan aurora-mysql8.0 untuk --db-parameter-group-family.

  3. Tetapkan parameter atau parameter tingkat klaster yang sesuai dan nilai ARN peran IAM terkait di grup parameter klaster DB Anda, seperti yang ditunjukkan berikut. 

    PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
    --parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \
    --parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"

  4. Ubah klaster DB untuk menggunakan grup parameter klaster DB baru lalu boot ulang klaster, seperti yang ditunjukkan berikut.

    PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess
PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary

    Saat instans di-boot ulang, peran IAM Anda akan dikaitkan dengan klaster DB Anda.

    Untuk informasi selengkapnya tentang grup parameter klaster, lihat Parameter konfigurasi Aurora MySQL.