Configurazione delle IAM autorizzazioni RDS per l'integrazione di Oracle con Amazon EFS - Amazon Relational Database Service
Passaggio 1: crea un IAM ruolo per la tua istanza DB e allega la tua policyPassaggio 2: crea una politica del file system per il tuo EFS file system AmazonFase 3: Associa il tuo IAM ruolo alla tua istanza database RDS for Oracle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle IAM autorizzazioni RDS per l'integrazione di Oracle con Amazon EFS

Per impostazione predefinita, la funzionalità di EFS integrazione di Amazon non utilizza un IAM ruolo: l'impostazione dell'USE_IAM_ROLEopzione èFALSE. RDSPer l'integrazione di Oracle con Amazon EFS e un IAM ruolo, l'istanza DB deve disporre IAM delle autorizzazioni per accedere a un EFS file system Amazon.

Passaggio 1: crea un IAM ruolo per la tua istanza DB e allega la tua policy

In questa fase, crei un ruolo per la tua istanza DB RDS per Oracle per consentire RDS ad Amazon di accedere al tuo EFS file system.

Creare un IAM ruolo per consentire ad Amazon RDS l'accesso a un EFS file system

  1. Aprire la console di gestione IAM.

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

  4. Per Servizio AWS , scegli RDS.

  5. Per Seleziona il tuo caso d'uso, scegli RDS— Aggiungi ruolo al database.

  6. Scegli Next (Successivo).

  7. Non aggiungere alcuna policy di autorizzazione. Scegli Next (Successivo).

  8. Imposta il nome del ruolo su un nome per il tuo IAM ruolo, ad esempiords-efs-integration-role. È anche possibile aggiungere un valore Description (Descrizione) facoltativo.

  9. Scegliere Crea ruolo.

Per limitare le autorizzazioni del servizio a una risorsa specifica, si consiglia di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle relazioni di trust basate sulle risorse. Questo è il modo più efficace per proteggersi dal problema di deputy confused.

Puoi usare le chiavi di contesto delle condizioni globali e avere il valore aws:SourceArn che contiene l'ID dell'account. In questo caso, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account quando viene utilizzato nella stessa istruzione.

  • Utilizzare aws:SourceArn se si desidera un accesso cross-service per una singola risorsa.

  • Utilizzare aws:SourceAccount se si desidera consentire l'associazione di qualsiasi risorsa in tale account all'uso cross-service.

Nella relazione di fiducia, assicurati di utilizzare la chiave di contesto della condizione aws:SourceArn globale con l'Amazon Resource Name completo (ARN) delle risorse che accedono al ruolo.

Il AWS CLI comando seguente crea il ruolo denominato a questo rds-efs-integration-role scopo.

Esempio

In Linux, macOS, oppure Unix:

aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

In Windows:

aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Per ulteriori informazioni, consulta Creazione di un ruolo per delegare le autorizzazioni a un IAM utente nella Guida per l'IAMutente.

Passaggio 2: crea una politica del file system per il tuo EFS file system Amazon

In questo passaggio, crei una politica del file system per il tuo EFS file system.

Per creare o modificare una politica EFS del file system

  1. Aprire la console di gestione EFS.

  2. Selezionare File Systems (File system).

  3. Nella pagina File systems (File system), scegli il file system per cui vuoi creare una policy di file system. Viene visualizzata la pagina dei dettagli per il file system scelto.

  4. Scegli la scheda File system policy (Policy di file system).

    Se la politica è vuota, viene utilizzata la politica del EFS file system predefinita. Per ulteriori informazioni, consulta la politica EFS del file system predefinita nella Amazon Elastic File System User Guide.

  5. Scegli Modifica. Viene visualizzata la pagina Policy del file system.

  6. Nell'editor di policy, immetti una policy come la seguente, quindi scegli Save (Salva).

    {
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/rds-efs-integration-role"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-1234567890abcdef0"
        }
    ]
}

Fase 3: Associa il tuo IAM ruolo alla tua istanza database RDS for Oracle

In questo passaggio, associ il tuo IAM ruolo alla tua istanza DB. Tieni presenti i seguenti requisiti:

  • Devi avere accesso a un IAM ruolo a cui è associata la politica di EFS autorizzazione Amazon richiesta.

  • Puoi associare un solo IAM ruolo alla volta alla tua istanza DB RDS for Oracle.

  • Lo stato dell'istanza deve essere Available (Disponibile).

Per ulteriori informazioni, consulta la pagina Gestione delle identità e degli accessi per Amazon EFS nella Amazon Elastic File System User Guide.

Per associare il tuo IAM ruolo alla tua istanza DB RDS per Oracle

  1. Accedi a AWS Management Console e apri la RDS console Amazon all'indirizzo https://console.aws.amazon.com/rds/.

  2. Scegli Database.

  3. Se l'istanza del database non è disponibile, scegli Operazioni , quindi Avvia. Quando lo stato dell'istanza mostra Avviato, vai al passaggio successivo.

  4. Scegliere il nome dell'istanza database Oracle per visualizzarne i dettagli.

  5. Nella scheda Connettività e sicurezza, scorri verso il basso fino alla sezione Gestisci IAM ruoli nella parte inferiore della pagina.

  6. Scegli il ruolo da aggiungere nella sezione Aggiungi IAM ruoli a questa istanza.

  7. Per Feature, scegli EFS_ INTEGRATION.

  8. Scegliere Add role (Aggiungi ruolo).

Il AWS CLI comando seguente aggiunge il ruolo a un'istanza Oracle DB denominatamydbinstance.

Esempio

In Linux, macOS, oppure Unix:

aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn

In Windows:

aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn

Sostituiscilo your-role-arn con il ruolo ARN che hai annotato in un passaggio precedente. EFS_INTEGRATIONdeve essere specificato per l'--feature-nameopzione.