Configurar permissões de rede para a integração do RDS para Oracle com o Amazon EFS - Amazon Relational Database Service
Controlar acesso à rede com grupos de segurançaControlar o acesso à rede com políticas de sistema de arquivos

Configurar permissões de rede para a integração do RDS para Oracle com o Amazon EFS

Para que o RDS para Oracle se integre ao Amazon EFS, sua instância de banco de dados deve ter acesso de rede a um sistema de arquivos EFS. Para ter mais informações, consulte Controlling network access to Amazon EFS file systems for NFS clients (Controlar o acesso à rede aos sistemas de arquivos Amazon EFS para clientes do NFS) no Guia do usuário do Amazon Elastic File System.

Controlar acesso à rede com grupos de segurança

Você pode controlar o acesso de sua instância de banco de dados aos sistemas de arquivos EFS usando mecanismos de segurança da camada de rede, como grupos de segurança da VPC. Para permitir o acesso a um sistema de arquivos EFS para sua instância de banco de dados, seu sistema de arquivos EFS deve atender aos seguintes requisitos:

  • Existe um destino de montagem do EFS em cada zona de disponibilidade usada por uma instância de banco de dados do RDS para Oracle.

    Um destino de montagem do EFS fornece um endereço IP para um endpoint do NFSv4 no qual é possível montar um sistema de arquivos do EFS. Monte o sistema de arquivos usando o respectivo nome DNS, que é resolvido para o endereço IP do destino de montagem do EFS usado pela zona de disponibilidade da sua instância de banco de dados.

    Você pode configurar instâncias de banco de dados em diferentes AZs para usar o mesmo sistema de arquivos EFS. Para multi-AZ, você precisa de um ponto de montagem para cada AZ em sua implantação. Talvez você precise mover uma instância de banco de dados para uma AZ diferente. Por esses motivos, recomendamos que você crie um ponto de montagem EFS em cada AZ em sua VPC. Por padrão, quando você cria um sistema de arquivos EFS usando o console, o RDS cria destinos de montagem para todas as AZs.

  • Um grupo de segurança é anexado ao destino de montagem.

  • O grupo de segurança tem uma regra de entrada para permitir a sub-rede de rede ou o grupo de segurança da instância de banco de dados do RDS para Oracle em TCP/2049 (tipo NFS).

Para ter mais informações, consulte Creating Amazon EFS file systems (Criar sistemas de arquivos Amazon EFS) e Creating and managing EFS mount targets and security groups (Criar e gerenciar destinos de montagem e grupos de segurança do EFS) no Guia do usuário do Amazon Elastic File System.

Controlar o acesso à rede com políticas de sistema de arquivos

A integração do Amazon EFS com o RDS para Oracle funciona com a política padrão (vazia) do sistema de arquivos EFS. A política padrão não usa o IAM para se autenticar. Em vez disso, ele concede acesso total a qualquer cliente anônimo que possa se conectar ao sistema de arquivos usando um destino de montagem. A política padrão estará em vigor sempre que uma política de sistema de arquivos configurada pelo usuário não estiver em vigor, inclusive na criação do sistema de arquivos. Para ter mais informações, consulte Default EFS file system policy (Política padrão do sistema de arquivos EFS) no Guia do usuário do Amazon Elastic File System.

Para fortalecer o acesso ao seu sistema de arquivos EFS para todos os clientes, inclusive o RDS para Oracle, você pode configurar as permissões do IAM. Nessa abordagem, você cria uma política do sistema de arquivos. Para ter mais informações, consulte Creating file system policies (Criar políticas do sistema de arquivos) no Guia do usuário do Amazon Elastic File System.