Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione delle autorizzazioni IAM per l'integrazione RDS per Oracle con Amazon EFS
<a name="oracle-efs-integration.iam"></a>

Per impostazione predefinita, la funzionalità di integrazione di Amazon EFS non utilizza un ruolo IAM: l’impostazione dell’opzione `USE_IAM_ROLE` è `FALSE`. Per l’integrazione di RDS per Oracle con Amazon EFS e un ruolo IAM, è necessario che l’istanza database disponga delle autorizzazioni IAM per l’accesso a un file system Amazon EFS.

**Topics**
+ [Fase 1: creazione di un ruolo IAM per l'istanza database e collegamento della policy](#oracle-efs-integration.iam.role)
+ [Fase 2: creazione di una policy per il file system Amazon EFS](#oracle-efs-integration.iam.policy)
+ [Fase 3: associazione del ruolo IAM all'istanza database RDS per Oracle](#oracle-efs-integration.iam.instance)

## Fase 1: creazione di un ruolo IAM per l'istanza database e collegamento della policy
<a name="oracle-efs-integration.iam.role"></a>

In questa fase, viene creato un ruolo per l'istanza database RDS per Oracle per consentire ad Amazon RDS di accedere al file system EFS.

### Console
<a name="oracle-efs-integration.iam.role.console"></a>

**Per creare un ruolo IAM per consentire ad Amazon RDS di accedere a un file system EFS**

1. Aprire la [console di gestione IAM](https://console.aws.amazon.com/iam/home?#home).

1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).

1. Selezionare **Create role (Crea ruolo)**.

1. In **AWS Service** scegliere **RDS**.

1. Per **Select your use case (Seleziona caso di utilizzo)**, selezionare **RDS – Add Role to Database (RDS – Aggiungi ruolo al database)**.

1. Scegli **Next (Successivo)**.

1. Non aggiungere alcuna policy di autorizzazione. Scegli **Next (Successivo)**.

1. Impostare **Role Name (Nome ruolo)** su un nome per il ruolo IAM, ad esempio `rds-efs-integration-role`. È anche possibile aggiungere un valore **Description (Descrizione)** facoltativo.

1. Scegli **Crea ruolo**.

### AWS CLI
<a name="integration.preparing.role.CLI"></a>

Per limitare le autorizzazioni del servizio a una risorsa specifica, si consiglia di utilizzare le chiavi di contesto delle condizioni globali [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) nelle relazioni di trust basate sulle risorse. Questo è il modo più efficace per proteggersi dal [problema di deputy confused](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

Puoi usare le chiavi di contesto delle condizioni globali e avere il valore `aws:SourceArn` che contiene l'ID dell'account. In questo caso, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account quando viene utilizzato nella stessa istruzione.
+ Utilizzare `aws:SourceArn` se si desidera un accesso cross-service per una singola risorsa.
+ Utilizzare `aws:SourceAccount` se si desidera consentire l'associazione di qualsiasi risorsa in tale account all'uso cross-service.

Nella relazione di trust, assicurati di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l'Amazon Resource Name (ARN) completo delle risorse che accedono al ruolo.

Il AWS CLI comando seguente crea il ruolo denominato `rds-efs-integration-role` per questo scopo.

**Example**  
Per Linux, macOS o Unix:  

```
aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'
```
Per Windows:  

```
aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'
```

Per ulteriori informazioni, consulta la pagina relativa alla [creazione di un ruolo per delegare le autorizzazioni a un utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) nella *Guida per l'utente IAM*.

## Fase 2: creazione di una policy per il file system Amazon EFS
<a name="oracle-efs-integration.iam.policy"></a>

In questa fase viene creata una policy per il file system EFS.

**Per creare o modificare una policy di file system EFS**

1. Apri la [console di gestione EFS](https://console.aws.amazon.com/efs/home?#home).

1. Selezionare **File Systems (File system)**.

1. Nella pagina **File systems** (File system), scegli il file system per cui vuoi creare una policy di file system. Viene visualizzata la pagina dei dettagli per il file system scelto.

1. Scegli la scheda **File system policy** (Policy di file system).

   Se è vuota, viene utilizzata la policy di file system EFS predefinita. Per ulteriori informazioni, consulta [Policy EFS predefinita per il file system EFS](https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html#default-filesystempolicy ) nella *Guida per l'utente di Amazon Elastic File System*.

1. Scegli **Modifica**. Viene visualizzata la pagina **Policy del file system**.

1. Nell'**editor di policy**, immetti una policy come la seguente, quindi scegli **Save** (Salva).

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Id": "ExamplePolicy01",
       "Statement": [
           {
               "Sid": "ExampleStatement01",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::123456789012:role/rds-efs-integration-role"
               },
               "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:ClientRootAccess"
               ],
               "Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-1234567890abcdef0"
           }
       ]
   }
   ```

------

## Fase 3: associazione del ruolo IAM all'istanza database RDS per Oracle
<a name="oracle-efs-integration.iam.instance"></a>

In questa fase il ruolo IAM viene associato all'istanza database. Tieni presenti i seguenti requisiti:
+ Devi disporre dell'accesso a un ruolo IAM a cui è collegata la policy di autorizzazione richiesta di Amazon EFS. 
+ È possibile associare un solo ruolo IAM alla volta all'istanza database RDS per Oracle.
+ Lo stato dell'istanza deve essere **Available** (Disponibile).

Per ulteriori informazioni, consulta [Identity and access management for Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/auth-and-access-control.html) (Identity and Access Management per Amazon EFS) nella *Guida per l'utente di Amazon Elastic File System*.

### Console
<a name="oracle-efs-integration.iam.instance.console"></a>

**Per associare il ruolo IAM all'istanza database RDS per Oracle**

1. Accedi a Console di gestione AWS e apri la console Amazon RDS all'indirizzo [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. Scegli **Database**.

1. Se l'istanza del database non è disponibile, scegli **Operazioni** , quindi **Avvia**. Quando lo stato dell'istanza mostra **Avviato**, vai al passaggio successivo.

1. Scegliere il nome dell'istanza database Oracle per visualizzarne i dettagli.

1. Sulla scheda **Connettività e sicurezza**, scorri verso il basso fino alla sezione **Gestisci i ruoli IAM** in fondo alla pagina.

1. Scegli il ruolo da aggiungere nella sezione **Aggiungi ruoli IAM a questa istanza**.

1. Per **Feature** (Caratteristica) scegli **EFS\$1INTEGRATION**.

1. Scegliere **Add role (Aggiungi ruolo)**.

### AWS CLI
<a name="oracle-efs-integration.iam.instance.CLI"></a>

Il AWS CLI comando seguente aggiunge il ruolo a un'istanza Oracle DB denominata`mydbinstance`.

**Example**  
Per Linux, macOS o Unix:  

```
aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn
```
Per Windows:  

```
aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn
```

Sostituire `your-role-arn` con il ruolo ARN annotato nel passaggio precedente. `EFS_INTEGRATION` deve essere specificato per l'opzione `--feature-name`.