Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfigurieren von IAM-Berechtigungen für die Integration von RDS für Oracle in Amazon EFS
<a name="oracle-efs-integration.iam"></a>

Standardmäßig verwendet die Amazon-EFS-Integrationsfunktion keine IAM-Rolle: Die Einstellung der Option `USE_IAM_ROLE` ist `FALSE`. Damit RDS für Oracle in Amazon EFS und mit einer IAM-Rolle integriert werden kann, benötigt die DB-Instance IAM-Berechtigungen für den Zugriff auf ein Amazon-EFS-Dateisystem.

**Topics**
+ [Schritt 1: Erstellen einer IAM-Rolle für Ihre DB-Instance und Anfügen Ihrer Richtlinie](#oracle-efs-integration.iam.role)
+ [Schritt 2: Erstellen einer Dateisystemrichtlinie für Ihr Amazon-EFS-Dateisystem](#oracle-efs-integration.iam.policy)
+ [Schritt 3: Zuordnen Ihrer IAM-Rolle zu Ihrer DB-Instance von RDS für Oracle](#oracle-efs-integration.iam.instance)

## Schritt 1: Erstellen einer IAM-Rolle für Ihre DB-Instance und Anfügen Ihrer Richtlinie
<a name="oracle-efs-integration.iam.role"></a>

Bei diesem Schritt erstellen Sie eine Rolle für Ihre DB-Instance von RDS für Oracle, um Amazon RDS den Zugriff auf Ihr EFS-Dateisystem zu ermöglichen.

### Konsole
<a name="oracle-efs-integration.iam.role.console"></a>

**So erstellen Sie eine IAM-Rolle, um Amazon RDS; den Zugriff auf ein EFS-Dateisystem zu ermöglichen**

1. Öffnen Sie die [IAM-Managementkonsole](https://console.aws.amazon.com/iam/home?#home).

1. Wählen Sie im Navigationsbereich **Rollen** aus.

1. Wählen Sie **Create role** (Rolle erstellen) aus.

1. Wählen Sie für den**AWS Service**** RDS** aus.

1. Wählen Sie unter **Select your use case (Anwendungsfall auswählen)** die Option **RDS – Add Role to Database (RDS – Rolle zur Datenbank hinzufügen)** aus.

1. Wählen Sie **Weiter** aus.

1. Fügen Sie keine Berechtigungsrichtlinien hinzu. Wählen Sie **Weiter** aus.

1. Legen Sie unter **Role Name (Rollenname)** einen Namen für Ihre IAM-Rolle fest, zum Beispiel `rds-efs-integration-role`. Sie können auch einen optionalen Wert für **Description (Beschreibung)** hinzufügen.

1. Wählen Sie **Rolle erstellen** aus.

### AWS CLI
<a name="integration.preparing.role.CLI"></a>

Wir empfehlen die Verwendung der globalen Bedingungskontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in ressourcenbasierten Vertrauensbeziehungen, um die Berechtigungen des Services auf eine bestimmte Ressource zu beschränken. Dies ist der effektivste Weg, um sich vor dem [verwirrtes Stellvertreterproblem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu schützen.

Sie können beide globalen Bedingungskontextschlüssel verwenden und der Wert `aws:SourceArn` enthält die Konto-ID. Stellen Sie in diesen Fällen sicher, dass der Wert `aws:SourceAccount` und das Konto im Wert `aws:SourceArn` dieselbe Konto-ID verwenden, wenn sie in derselben Anweisung verwendet werden.
+ Verwenden von `aws:SourceArn` wenn Sie einen serviceübergreifenden Zugriff für eine einzelne Ressource wünschen.
+ Verwenden von `aws:SourceAccount` wenn Sie zulassen möchten, dass eine Ressource in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft wird.

Stellen Sie in der Vertrauensbeziehung sicher, dass Sie den globalen Bedingungskontextschlüssel `aws:SourceArn` mit dem vollständigen Amazon-Ressourcennamen (ARN) der Ressourcen verwenden, die auf die Rolle zugreifen.

Der folgende AWS CLI Befehl erstellt die `rds-efs-integration-role` für diesen Zweck benannte Rolle.

**Example**  
Für Linux, macOS oder Unix:  

```
aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'
```
Für Windows:  

```
aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'
```

Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.

## Schritt 2: Erstellen einer Dateisystemrichtlinie für Ihr Amazon-EFS-Dateisystem
<a name="oracle-efs-integration.iam.policy"></a>

Bei diesem Schritt erstellen Sie eine Dateisystemrichtlinie für Ihr Amazon-EFS-Dateisystem.

**So erstellen oder bearbeiten Sie eine Dateisystemrichtlinie**

1. Öffnen Sie die [EFS-Managementkonsole](https://console.aws.amazon.com/efs/home?#home).

1. Wählen Sie **File Systems (Dateisysteme)** aus.

1. Wählen Sie auf der Seite **File systems** (Dateisysteme) das Dateisystem aus, für das Sie eine Dateisystemrichtlinie bearbeiten oder erstellen möchten. Die Detailseite für dieses Dateisystem wird angezeigt.

1. Wählen Sie die Registerkarte **File system policy** (Dateisystemrichtlinie) aus.

   Wenn die Richtlinie leer ist, wird die standardmäßige EFS-Dateisystemrichtlinie verwendet. Weitere Informationen finden Sie unter [Standardrichtlinie für das EFS-Dateisystem](https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html#default-filesystempolicy ) im *Benutzerhandbuch für Amazon Elastic File System*.

1. Wählen Sie **Bearbeiten** aus. Die Seite **File system policy (Dateisystemrichtlinie)** wird angezeigt.

1. Geben Sie im **Policy editor** (Richtlinien-Editor) eine Richtlinie wie die folgende ein, und wählen Sie dann **Save** (Speichern) aus.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Id": "ExamplePolicy01",
       "Statement": [
           {
               "Sid": "ExampleStatement01",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::123456789012:role/rds-efs-integration-role"
               },
               "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:ClientRootAccess"
               ],
               "Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-1234567890abcdef0"
           }
       ]
   }
   ```

------

## Schritt 3: Zuordnen Ihrer IAM-Rolle zu Ihrer DB-Instance von RDS für Oracle
<a name="oracle-efs-integration.iam.instance"></a>

Bei diesem Schritt ordnen Sie Ihre IAM-Rolle Ihrer DB-Instance zu. Beachten Sie die folgenden Anforderungen:
+ Sie müssen Zugriff auf eine IAM-Rolle haben, der die erforderliche Amazon-EFS-Berechtigungsrichtlinie angefügt ist. 
+ Sie können jeweils nur eine IAM-Rolle Ihrer DB-Instance von RDS für Oracle hinzufügen.
+ Der Status Ihrer Instance muss **Available** lauten.

Weitere Informationen finden Sie unter [Identity and Access Management für Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/auth-and-access-control.html) im *Benutzerhandbuch für Amazon Elastic File System*.

### Konsole
<a name="oracle-efs-integration.iam.instance.console"></a>

**So ordnen Sie Ihre IAM-Rolle Ihrer DB-Instance von RDS für Oracle zu**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. Wählen Sie **Datenbanken** aus.

1. Wenn Ihre Datenbank-Instance nicht verfügbar ist, wählen Sie die Option **Aktionen** und anschließend **Starten**. Sobald der Instance-Status **Gestartet** lautet, fahren Sie mit dem nächsten Schritt fort.

1. Wählen Sie den Namen der Oracle DB-Instance aus, um deren Details anzuzeigen.

1. Auf der**Konnektivität & Sicherheit**Scrollen Sie nach unten zum**IAM-Rollen verwalten**unten auf der Seite.

1. Wählen Sie die Rolle aus, die Sie hinzufügen möchten in **Fügen Sie dieser Instance IAM-Rollen hinzu**.

1. Wählen Sie unter **Feature** (Funktion) die Option **EFS\$1INTEGRATION** aus.

1. Wählen Sie **Rolle hinzufügen** aus.

### AWS CLI
<a name="oracle-efs-integration.iam.instance.CLI"></a>

Der folgende AWS CLI Befehl fügt die Rolle einer Oracle-DB-Instance mit dem Namen hinzu`mydbinstance`.

**Example**  
Für Linux, macOS oder Unix:  

```
aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn
```
Für Windows:  

```
aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn
```

Ersetzen Sie `your-role-arn` durch den Rollen-ARN, den Sie im vorherigen Schritt notiert haben. Für die Option `EFS_INTEGRATION` muss `--feature-name` angegeben werden.