Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi IAM izin RDS untuk integrasi Oracle dengan Amazon EFS
Secara default, fitur EFS integrasi Amazon tidak menggunakan IAM peran: pengaturan USE_IAM_ROLE opsi adalahFALSE. RDSUntuk mengintegrasikan Oracle dengan Amazon EFS dan IAM peran, instans DB Anda harus memiliki IAM izin untuk mengakses sistem EFS file Amazon.
Topik
Langkah 1: Buat IAM peran untuk instans DB Anda dan lampirkan kebijakan Anda
Pada langkah ini, Anda membuat peran untuk instans Oracle DB Anda RDS untuk memungkinkan Amazon RDS mengakses sistem EFS file Anda.
Untuk membuat IAM peran untuk memungkinkan Amazon RDS mengakses ke sistem EFS file
-
Buka Konsol IAM Manajemen
. -
Di panel navigasi, pilih Peran.
-
Pilih Buat peran.
-
Untuk Layanan AWS , pilih RDS.
-
Untuk Pilih kasus penggunaan Anda, pilih RDS— Tambahkan Peran ke Database.
-
Pilih Berikutnya.
-
Jangan tambahkan kebijakan izin apa pun. Pilih Berikutnya.
-
Tetapkan nama Peran ke nama untuk IAM peran Anda, misalnya
rds-efs-integration-role. Anda juga dapat menambahkan nilai Deskripsi opsional. -
Pilih Buat peran.
Untuk membatasi izin layanan ke sumber daya tertentu, sebaiknya gunakan kunci konteks kondisi global aws:SourceArn dan aws:SourceAccount dalam hubungan kepercayaan berbasis sumber daya. Ini adalah perlindungan paling efektif dari masalah confused deputy.
Anda dapat menggunakan kedua kunci konteks kondisi global tersebut dan nilai aws:SourceArn berisi ID akun. Dalam hal ini, nilai aws:SourceAccount dan akun dalam nilai aws:SourceArn harus menggunakan ID akun yang sama saat digunakan dalam pernyataan yang sama.
-
Gunakan
aws:SourceArnjika Anda menginginkan akses lintas layanan untuk satu sumber daya. -
Gunakan
aws:SourceAccountjika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Dalam hubungan kepercayaan, pastikan untuk menggunakan kunci konteks kondisi aws:SourceArn global dengan Nama Sumber Daya Amazon (ARN) lengkap dari sumber daya yang mengakses peran.
AWS CLI Perintah berikut menciptakan peran yang dinamai rds-efs-integration-role
contoh
Untuk Linux, macOS, atau Unix:
aws iam create-role \ --role-namerds-efs-integration-role\ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount":my_account_ID, "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname" } } } ] }'
Untuk Windows:
aws iam create-role ^ --role-namerds-efs-integration-role^ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount":my_account_ID, "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname" } } } ] }'
Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin kepada IAM pengguna di Panduan IAM Pengguna.
Langkah 2: Buat kebijakan sistem file untuk sistem EFS file Amazon Anda
Pada langkah ini, Anda membuat kebijakan sistem file untuk sistem EFS file Anda.
Untuk membuat atau mengedit kebijakan sistem EFS file
-
Buka Konsol EFS Manajemen
. -
Pilih Sistem File.
-
Pada halaman Sistem file, pilih sistem file yang akan diedit atau dibuatkan kebijakan sistem file. Halaman detail sistem file akan terbuka.
-
Pilih tab Kebijakan sistem file.
Jika kebijakan kosong, maka kebijakan sistem EFS file default sedang digunakan. Untuk informasi selengkapnya, lihat Kebijakan sistem EFS file default di Panduan Pengguna Amazon Elastic File System.
-
Pilih Edit. Halaman Kebijakan sistem file muncul.
-
Di Editor kebijakan, masukkan kebijakan seperti berikut ini, lalu pilih Simpan.
{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleStatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/rds-efs-integration-role" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-1234567890abcdef0" } ] }
Langkah 3: Kaitkan IAM peran Anda dengan RDS instans DB Oracle
Pada langkah ini, Anda mengaitkan IAM peran Anda dengan instans DB Anda. Perhatikan persyaratan berikut:
-
Anda harus memiliki akses ke IAM peran dengan kebijakan EFS izin Amazon yang diperlukan yang dilampirkan padanya.
-
Anda hanya dapat mengaitkan satu IAM peran dengan instans DB Oracle Anda RDS pada satu waktu.
-
Status instans Anda harus Tersedia.
Untuk informasi selengkapnya, lihat Identitas dan manajemen akses untuk Amazon EFS di Panduan Pengguna Amazon Elastic File System.
Untuk mengaitkan IAM peran Anda dengan RDS instans Oracle DB
Masuk ke AWS Management Console dan buka RDS konsol Amazon di https://console.aws.amazon.com/rds/
. -
Pilih Basis data.
-
Jika instans basis data Anda tidak tersedia, pilih Tindakan lalu Mulai. Saat instans berstatus Dimulai, lanjutkan ke langkah berikutnya.
-
Pilih nama instans DB Oracle untuk menampilkan detailnya.
-
Pada tab Konektivitas & Keamanan, gulir ke bawah ke bagian Kelola IAM peran di bagian bawah halaman.
-
Pilih peran yang akan ditambahkan di bagian Tambahkan IAM peran ke contoh ini.
-
Untuk Fitur, pilih EFS_ INTEGRATION.
-
Pilih Tambahkan peran.
AWS CLI Perintah berikut menambahkan peran ke instance Oracle DB bernamamydbinstance
contoh
Untuk Linux, macOS, atau Unix:
aws rds add-role-to-db-instance \ --db-instance-identifiermydbinstance\ --feature-name EFS_INTEGRATION \ --role-arnyour-role-arn
Untuk Windows:
aws rds add-role-to-db-instance ^ --db-instance-identifiermydbinstance^ --feature-name EFS_INTEGRATION ^ --role-arnyour-role-arn
Ganti your-role-arnEFS_INTEGRATIONharus ditentukan untuk --feature-name opsi.
