Configuration IAM des autorisations RDS pour l'intégration d'Oracle à Amazon EFS - Amazon Relational Database Service
Étape 1 : Créez un IAM rôle pour votre instance de base de données et associez votre politiqueÉtape 2 : créer une politique de système de fichiers pour votre système de EFS fichiers AmazonÉtape 3 : associez votre IAM rôle à votre instance de base de données RDS pour Oracle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration IAM des autorisations RDS pour l'intégration d'Oracle à Amazon EFS

Par défaut, la fonctionnalité EFS d'intégration d'Amazon n'utilise aucun IAM rôle : le paramètre d'USE_IAM_ROLEoption est défini comme suitFALSE. RDSPour intégrer Oracle à Amazon EFS et à un IAM rôle, votre instance de base de données doit être IAM autorisée à accéder à un système de EFS fichiers Amazon.

Étape 1 : Créez un IAM rôle pour votre instance de base de données et associez votre politique

Au cours de cette étape, vous créez un rôle pour votre instance de base de données RDS pour Oracle afin de permettre RDS à Amazon d'accéder à votre système de EFS fichiers.

Pour créer un IAM rôle permettant à Amazon d'RDSaccéder à un système de EFS fichiers

  1. Ouvrez la console de gestion IAM.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Sélectionnez Create role (Créer un rôle).

  4. Pour Service AWS , choisissez RDS.

  5. Pour Sélectionnez votre cas d'utilisation, choisissez RDS— Ajouter un rôle à la base de données.

  6. Choisissez Suivant.

  7. N'ajoutez aucune politique d'autorisation. Choisissez Suivant.

  8. Définissez le nom du rôle sur le nom de votre IAM rôle, par exemplerds-efs-integration-role. Vous pouvez également ajouter une valeur Description facultative.

  9. Sélectionnez Créer un rôle.

Pour limiter les autorisations du service à une ressource spécifique, nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans des relations d'approbation basées sur les ressources. C'est le moyen le plus efficace de se protéger contre le problème du député confus.

Vous pouvez utiliser les deux clés de contexte de condition globale et faire en sorte que la valeur aws:SourceArn contienne l'ID de compte. Dans ce cas, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction.

  • Utilisez aws:SourceArn si vous souhaitez un accès interservices pour une seule ressource.

  • Utilisez aws:SourceAccount si vous souhaitez autoriser une ressource de ce compte à être associée à l'utilisation interservices.

Dans la relation de confiance, veillez à utiliser la clé de contexte de condition aws:SourceArn globale avec le nom complet de la ressource Amazon (ARN) des ressources accédant au rôle.

La AWS CLI commande suivante crée le rôle nommé rds-efs-integration-role à cet effet.

Exemple

Dans Linux, macOS, ou Unix:

aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Dans Windows:

aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Pour plus d'informations, consultez la section Création d'un rôle pour déléguer des autorisations à un IAM utilisateur dans le Guide de IAM l'utilisateur.

Étape 2 : créer une politique de système de fichiers pour votre système de EFS fichiers Amazon

Au cours de cette étape, vous allez créer une politique de système de fichiers pour votre système de EFS fichiers.

Pour créer ou modifier une politique de système de EFS fichiers

  1. Ouvrez la console de gestion EFS.

  2. Choisissez Systèmes de fichiers.

  3. Sur la page Système de fichiers, choisissez le système de fichiers pour lequel vous souhaitez modifier ou créer une politique de système de fichiers. La page de détails de ce système de fichiers s'affiche.

  4. Choisissez l'onglet File system policy (Politique de système de fichiers).

    Si la politique est vide, c'est la stratégie du système de EFS fichiers par défaut qui est utilisée. Pour plus d'informations, consultez la section Politique EFS du système de fichiers par défaut dans le manuel Amazon Elastic File System User Guide.

  5. Choisissez Modifier. La page Politique du système de fichiers s’affiche.

  6. Dans Policy editor (Éditeur de politique), entrez une politique telle que la suivante, puis choisissez Enregistrer.

    {
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/rds-efs-integration-role"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-1234567890abcdef0"
        }
    ]
}

Étape 3 : associez votre IAM rôle à votre instance de base de données RDS pour Oracle

Au cours de cette étape, vous associez votre IAM rôle à votre instance de base de données. Tenez compte des exigences suivantes :

  • Vous devez avoir accès à un IAM rôle associé à la politique EFS d'autorisation Amazon requise.

  • Vous ne pouvez associer qu'un seul IAM rôle à votre instance RDS de base de données Oracle à la fois.

  • Le statut de votre instance doit être Available (Disponible).

Pour plus d'informations, consultez la section Gestion des identités et des accès pour Amazon EFS dans le guide de l'utilisateur Amazon Elastic File System.

Pour associer votre IAM rôle à votre instance de base de données RDS pour Oracle

  1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Choisissez Databases (Bases de données).

  3. Si votre instance de base de données n'est pas disponible, choisissez Actions , puis Start (Démarrer). Lorsque le statut de l'instance affiche Started (Démarré), passez à l'étape suivante.

  4. Choisissez le nom de l'instance de base de données Oracle pour afficher ses détails.

  5. Dans l'onglet Connectivité et sécurité, faites défiler l'écran jusqu'à la section Gérer les IAM rôles au bas de la page.

  6. Choisissez le rôle à ajouter dans la section Ajouter IAM des rôles à cette instance.

  7. Dans Fonctionnalité, choisissez EFS_ INTEGRATION.

  8. Choisissez Ajouter un rôle.

La AWS CLI commande suivante ajoute le rôle à une instance de base de données Oracle nomméemydbinstance.

Exemple

Dans Linux, macOS, ou Unix:

aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn

Dans Windows:

aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn

your-role-arnRemplacez-le par le rôle ARN que vous avez noté à l'étape précédente. EFS_INTEGRATIONdoit être spécifié pour l'--feature-nameoption.