Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de l'accès à un compartiment Amazon S3
Pour importer des données depuis un fichier Amazon S3, autorisez le cluster de SQL base de données Aurora Postgre RDS à accéder au compartiment Amazon S3 contenant le fichier. Pour accorder l'accès à un compartiment Amazon S3, vous pouvez employer une des deux méthodes décrites dans les rubriques suivantes.
Rubriques
Utilisation d'un IAM rôle pour accéder à un compartiment Amazon S3
Avant de charger des données depuis un fichier Amazon S3, autorisez votre cluster de SQL base de données Aurora Postgre RDS à accéder au compartiment Amazon S3 dans lequel se trouve le fichier. De cette façon, vous n'avez pas à gérer d'informations d'identification supplémentaires ni à les fournir dans l'appel de fonction aws_s3.table_import_from_s3.
Pour ce faire, créez une IAM politique qui donne accès au compartiment Amazon S3. Créez un IAM rôle et associez la politique au rôle. Attribuez ensuite le IAM rôle à votre de cluster de base de données.
Note
Vous ne pouvez pas associer un IAM rôle à un Aurora Serverless v1 Cluster de base de données, les étapes suivantes ne s'appliquent donc pas.
Pour donner à un cluster de SQL bases de données Aurora Postgre RDS l'accès à Amazon S3 via un rôle IAM
-
Créez une IAM politique.
Cette politique fournit les autorisations de compartiment et d'objet qui permettent à votre d'accéder à Amazon S3.
Incluez dans la politique les actions requises suivantes pour autoriser le transfert de fichiers d'un compartiment Amazon S3 vers Aurora Postgre SQL :
-
s3:GetObject
-
s3:ListBucket
Incluez à la politique les ressources suivantes pour identifier le compartiment Amazon S3 et les objets qu'il contient. Cela indique le format Amazon Resource Name (ARN) pour accéder à Amazon S3.
-
arn:aws:s3 : :1
amzn-s3-demo-bucket
-
arn:aws:s3 : :1
amzn-s3-demo-bucket
/*
Pour plus d'informations sur la création d'une IAM politique pour Aurora Postgre SQL RDS . Création et utilisation d'une politique IAM pour l'accès à une base de données IAM Consultez également le didacticiel : créez et joignez votre première politique gérée par le client dans le guide de IAM l'utilisateur.
La AWS CLI commande suivante crée une IAM politique nommée
rds-s3-import-policy
avec ces options. Il donne accès à un bucket nomméamzn-s3-demo-bucket
.Note
Notez le nom de ressource Amazon (ARN) de la politique renvoyée par cette commande. Vous ARN en aurez besoin lors d'une étape ultérieure lorsque vous associez la politique à un IAM rôle.
Exemple
Dans Linux, macOS, ou Unix:
aws iam create-policy \ --policy-name rds-s3-import-policy \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "s3import", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] } ] }'Dans Windows:
aws iam create-policy ^ --policy-name rds-s3-import-policy ^ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "s3import", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket
", "arn:aws:s3:::amzn-s3-demo-bucket
/*" ] } ] }' -
-
Créez un IAM rôle.
Vous procédez ainsi pour qu'Aurora Postgre SQL puisse assumer ce IAM rôle et accéder à vos compartiments Amazon S3. Pour plus d'informations, consultez la section Création d'un rôle pour déléguer des autorisations à un IAM utilisateur dans le Guide de IAM l'utilisateur.
Nous vous recommandons d'utiliser les clés de contexte de condition globale
aws:SourceArn
etaws:SourceAccount
dans des politiques basées sur les ressources pour limiter les autorisations du service à une ressource spécifique. C'est le moyen le plus efficace de se protéger contre le problème du député confus.Si vous utilisez les deux clés de contexte de condition globale et que la valeur de
aws:SourceArn
contient l'ID de compte, la valeur deaws:SourceAccount
et le compte indiqué dans la valeur deaws:SourceArn
doivent utiliser le même ID de compte lorsqu'il est utilisé dans la même déclaration de politique.Utilisez
aws:SourceArn
si vous souhaitez un accès interservices pour une seule ressource.-
Utilisez
aws:SourceAccount
si vous souhaitez autoriser une ressource de ce compte à être associée à l'utilisation interservices.
Dans la politique, veillez à utiliser la clé de contexte de condition
aws:SourceArn
globale avec l'intégralité ARN de la ressource. L'exemple suivant montre comment procéder à l'aide de la AWS CLI commande pour créer un rôle nommérds-s3-import-role
.Exemple
Dans Linux, macOS, ou Unix:
aws iam create-role \ --role-name rds-s3-import-role \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
111122223333
", "aws:SourceArn": "arn:aws:rds:us-east-1:111122223333:cluster:clustername
" } } } ] }'Dans Windows:
aws iam create-role ^ --role-name rds-s3-import-role ^ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
111122223333
", "aws:SourceArn": "arn:aws:rds:us-east-1:111122223333:cluster:clustername
" } } } ] }' -
Attachez la IAM politique que vous avez créée au IAM rôle que vous avez créé.
La AWS CLI commande suivante associe la politique créée à l'étape précédente au rôle nommé
rds-s3-import-role
Remplacer
par la politique ARN que vous avez notée à l'étape précédente.your-policy-arn
Exemple
Dans Linux, macOS, ou Unix:
aws iam attach-role-policy \ --policy-arn
your-policy-arn
\ --role-name rds-s3-import-roleDans Windows:
aws iam attach-role-policy ^ --policy-arn
your-policy-arn
^ --role-name rds-s3-import-role -
Ajoutez le IAM rôle à l' de cluster de base de données.
Pour ce faire, utilisez le AWS Management Console ou AWS CLI, comme décrit ci-dessous.
Pour ajouter un IAM rôle pour une de SQL cluster de base de données Postgre à l'aide de la console
Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/
. -
Choisissez le nom de l' de SQL cluster de base de données Postgre pour afficher ses détails.
-
Dans l'onglet Connectivité et sécurité, dans la section Gérer les IAM rôles, choisissez le rôle à ajouter sous Ajouter IAM des rôles à cette de cluster.
-
Sous Feature (Fonction), choisissez s3Import.
-
Choisissez Add role (Ajouter un rôle).
Pour ajouter un IAM rôle à un SQL cluster de base de données Postgre à l'aide du CLI
-
Utilisez la commande suivante pour ajouter le rôle au SQL cluster de base de données Postgre nommé
my-db-cluster
. Remplacez
avec le rôle ARN que vous avez noté à l'étape précédente. Utilisezyour-role-arn
s3Import
comme valeur de l'option--feature-name
.Exemple
Dans Linux, macOS, ou Unix:
aws rds add-role-to-db-cluster \ --db-cluster-identifier
my-db-cluster
\ --feature-name s3Import \ --role-arnyour-role-arn
\ --regionyour-region
Dans Windows:
aws rds add-role-to-db-cluster ^ --db-cluster-identifier
my-db-cluster
^ --feature-name s3Import ^ --role-arnyour-role-arn
^ --regionyour-region
Pour ajouter un IAM rôle à une de SQL cluster de base de données Postgre à l'aide d'Amazon RDSAPI, appelez l'AddRoleToDBClusteropération.
Utilisation d'informations d'identification de sécurité pour accéder à un compartiment Amazon S3
Si vous préférez, vous pouvez utiliser des informations d'identification de sécurité pour accéder à un compartiment Amazon S3 au lieu de fournir un accès avec un IAM rôle. Pour ce faire, spécifiez le paramètre credentials
dans l'appel de fonction aws_s3.table_import_from_s3.
Le credentials
paramètre est une structure de type contenant aws_commons._aws_credentials_1
des AWS informations d'identification. Utilisez la fonction aws_commons.create_aws_credentials pour définir la clé d'accès et la clé secrète dans une structure aws_commons._aws_credentials_1
, comme indiqué ci-après.
postgres=>
SELECT aws_commons.create_aws_credentials( 'sample_access_key
', 'sample_secret_key
', '') AS creds \gset
Après avoir créé la structure aws_commons._aws_credentials_1
, utilisez la fonction aws_s3.table_import_from_s3 avec le paramètre credentials
pour importer les données, comme indiqué ci-après.
postgres=>
SELECT aws_s3.table_import_from_s3( 't', '', '(format csv)', :'s3_uri', :'creds' );
Vous pouvez également inclure l'appel de fonction aws_commons.create_aws_credentials en ligne au sein de l'appel de fonction aws_s3.table_import_from_s3
.
postgres=>
SELECT aws_s3.table_import_from_s3( 't', '', '(format csv)', :'s3_uri', aws_commons.create_aws_credentials('sample_access_key
', 'sample_secret_key
', '') );
Résolution des problèmes d'accès à Amazon S3
Si vous rencontrez des problèmes de connexion lorsque vous tentez d'importer des données depuis Amazon S3, consultez les recommandations suivantes :
-
Résolution des problèmes liés à Identity and Access Amazon Aurora
-
Dépannage d'Amazon S3 dans le Guide de l'utilisateur Amazon Simple Storage Service.
-
Résolution des problèmes liés à Amazon S3 et IAM dans le guide de IAM l'utilisateur