Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einrichtung von IAM-Rollen für den Zugriff auf Dienste AWS
Gehen Sie wie folgt vor, um Ihrem Aurora-DB-Cluster den Zugriff auf einen anderen AWS Service zu ermöglichen:
1. Erstellen Sie eine IAM-Richtlinie, die dem AWS Dienst die Erlaubnis erteilt. Weitere Informationen finden Sie unter den folgenden Themen.
+ [Erstellen einer IAM-Zugriffsrichtlinie für Amazon S3-Ressourcen](AuroraMySQL.Integrating.Authorizing.IAM.S3CreatePolicy.md)
+ [Erstellen einer IAM-Richtlinie für den Zugriff auf Ressourcen AWS Lambda](AuroraMySQL.Integrating.Authorizing.IAM.LambdaCreatePolicy.md)
+ [Eine IAM-Richtlinie für den Zugriff auf CloudWatch Logs-Ressourcen erstellen](AuroraMySQL.Integrating.Authorizing.IAM.CWCreatePolicy.md)
+ [Erstellen einer IAM-Richtlinie für den Zugriff auf Ressourcen AWS KMS](AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy.md)
1. Erstellen Sie eine IAM-Rolle und fügen Sie die erstellte Zugriffsrichtlinie an. Weitere Informationen finden Sie unter [Eine IAM-Rolle erstellen, um Amazon Aurora den Zugriff auf AWS Services zu ermöglichen](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
1. Weisen Sie diese IAM-Rolle Ihrem Aurora-DB-Cluster zu. Weitere Informationen finden Sie unter [Zuweisen einer IAM-Rolle zu einem Amazon-Aurora-MySQL-DB-Cluster](AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.md).
# Erstellen einer IAM-Zugriffsrichtlinie für Amazon S3-Ressourcen
Aurora kann auf Amazon S3-Ressourcen zugreifen, um entweder Daten zu laden oder Daten aus einem Aurora-DB-Cluster zu speichern. Jedoch müssen Sie zuerst eine IAM-Zugriffsrichtlinie erstellen, die die Bucket- und Objektberechtigungen bereitstellt, um Aurora den Zugriff auf Amazon S3 zu erlauben.
In der folgenden Tabelle sind die Aurora-Funktionen gelistet, die in Ihrem Auftrag auf ein Amazon S3-Bucket zugreifen können, und das Minimum der erforderlichen Bucket- und Objektberechtigungen, die für jede Funktion benötigt werden.
| Funktion | Bucket-Berechtigungen | Objektberechtigungen |
| --- | --- | --- |
| `LOAD DATA FROM S3` | `ListBucket` | `GetObject` `GetObjectVersion` |
| LOAD XML FROM S3 | `ListBucket` | `GetObject` `GetObjectVersion` |
| `SELECT INTO OUTFILE S3` | `ListBucket` | `AbortMultipartUpload` `DeleteObject` `GetObject` `ListMultipartUploadParts` `PutObject` |
Die folgende Richtlinie fügt die Berechtigungen hinzu, die Aurora möglicherweise für den Zugriff auf einen Amazon S3-Bucket in Ihrem Namen benötigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToExampleBucket",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
**Anmerkung**
Achten Sie darauf, dass beide Einträge für den Wert `Resource` eingeschlossen sind. Aurora benötigt die Berechtigungen sowohl für den Bucket selbst als auch für alle Objekte im Bucket.
Basierend auf Ihrem Anwendungsfall müssen Sie möglicherweise nicht alle Berechtigungen in der Beispielrichtlinie hinzufügen. Möglicherweise sind auch weitere Berechtigungen erforderlich. Wenn Ihr Amazon S3-Bucket beispielsweise verschlüsselt ist, müssen Sie `kms:Decrypt`-Berechtigungen hinzufügen.
Sie können die folgenden Schritte ausführen, um eine IAM-Zugriffsrichtlinie zu erstellen, die das Minimum der erforderlichen Berechtigungen für Aurora bereitstellt, um in Ihrem Auftrag auf einen Amazon S3-Bucket zuzugreifen. Um Aurora den Zugriff auf alle Ihre Amazon S3-Buckets zu erlauben, können Sie diese Schritte überspringen und die vordefinierte IAM-Richtlinie `AmazonS3ReadOnlyAccess` oder `AmazonS3FullAccess` verwenden, anstatt eigene zu erstellen.
**So können Sie eine IAM-Zugriffsrichtlinie erstellen, um Zugriff auf Ihre Amazon S3-Ressourcen zu erlauben**
1. Öffnen Sie die [IAM-Managementkonsole](https://console.aws.amazon.com/iam/home?#home).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie auf der Registerkarte **Visueller Editor** die Option **Service auswählen** und dann **S3** aus.
1. Wählen Sie unter **Actions (Aktionen)** die Option **Expand all (Alle expandieren)**. Wählen Sie dann die Bucket-Berechtigungen und Objektberechtigungen aus, die für die IAM-Richtlinie benötigt werden.
Objektberechtigungen sind Berechtigungen für Objektoperationen in Amazon S3 und müssen für Objekte in einem Bucket und nicht für das Bucket selbst erteilt werden. Weitere Informationen über Berechtigungen für Objektoperationen in Amazon S3 finden Sie unter [Berechtigungen für Objektoperationen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-with-s3-actions.html#using-with-s3-actions-related-to-objects).
1. Wählen Sie **Resources (Ressourcen)** und dann **Add ARN (ARN hinzufügen)** für **Bucket (Bucket)** aus.
1. Geben Sie im Dialogfeld **ARN(s) hinzufügen** die Details zu Ihrer Ressource an, und wählen Sie **Hinzufügen**.
Geben Sie das Amazon S3-Bucket an, wofür der Zugriff erlaubt werden soll. Wenn Sie beispielsweise Aurora den Zugriff auf den Amazon S3-Bucket mit dem Namen *amzn-s3-demo-bucket* gewähren möchten, dann stellen Sie den Amazon-Ressourcennamen (ARN)-Wert auf `arn:aws:s3:::amzn-s3-demo-bucket` ein.
1. Wenn die Ressource **Objekt** aufgelistet ist, wählen Sie **ARN hinzufügen** für **Objekt**.
1. Geben Sie im Dialogfeld **ARN(s) hinzufügen** die Details zu Ihrer Ressource an.
Geben Sie für den Amazon S3-Bucket den Amazon S3-Bucket an, für den der Zugriff erlaubt werden soll. Sie können für das Objekt **Beliebig** auswählen, um Berechtigungen für alle Objekte im Bucket bereitzustellen.
**Anmerkung**
Sie können **Amazon-Ressourcenname (ARN)** auf einen spezifischen ARN-Wert einstellen, um Aurora nur den Zugriff auf spezifische Dateien oder Ordern in einem Amazon S3-Bucket zu erlauben. Weitere Informationen über das Definieren von Zugriffsrichtlinien für Amazon S3 finden Sie unter [Verwaltung der Zugriffsberechtigungen zu Ihren Amazon S3-Ressourcen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html).
1. (Optional) Wählen Sie **Add ARN (ARN hinzufügen)** für **Bucket**, um der Richtlinie einen weiteren Amazon S3-Bucket hinzuzufügen, und wiederholen Sie die vorherigen Schritte für den Bucket.
**Anmerkung**
Sie können diesen Schritt wiederholen, um Ihrer Richtlinie die entsprechenden Bucket-Berechtigungsanweisungen für jeden Amazon S3-Bucket hinzuzufügen, auf den Aurora zugreifen soll. Alternativ können Sie auch Zugriff auf alle Buckets und Objekte in Amazon S3 erlauben.
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie unter ** Name** einen Namen für Ihre IAM-Richtlinie ein, z. B. `AllowAuroraToExampleBucket`. Sie verwenden diesen Namen, wenn Sie eine IAM-Rolle erstellen, um sie Ihrem Aurora-DB-Cluster zuzuweisen. Sie können auch einen optionalen Wert für **Description (Beschreibung)** hinzufügen.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Führen Sie die Schritte unter au [Eine IAM-Rolle erstellen, um Amazon Aurora den Zugriff auf AWS Services zu ermöglichen](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Erstellen einer IAM-Richtlinie für den Zugriff auf Ressourcen AWS Lambda
Sie können eine IAM-Richtlinie erstellen, die die Mindestberechtigungen vorsieht, die Aurora benötigt, um eine AWS Lambda Funktion in Ihrem Namen aufzurufen.
Die folgende Richtlinie fügt die Berechtigungen hinzu, die Aurora benötigt, um in Ihrem Namen eine AWS Lambda -Funktion aufzurufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToExampleFunction",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:example_function"
}
]
}
```
------
Sie können die folgenden Schritte verwenden, um eine IAM-Richtlinie zu erstellen, die die Mindestberechtigungen für Aurora bereitstellt, um eine AWS Lambda Funktion in Ihrem Namen aufzurufen. Damit Aurora all Ihre AWS Lambda Funktionen aufrufen kann, können Sie diese Schritte überspringen und die vordefinierte `AWSLambdaRole` Richtlinie verwenden, anstatt Ihre eigene zu erstellen.
**Um eine IAM-Richtlinie zu erstellen, mit der Sie Ihre Funktionen aufrufen können AWS Lambda**
1. Öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie auf der Registerkarte **Visueller Editor** die Option **Service auswählen** und dann **Lambda** aus.
1. Wählen Sie für **Actions (Aktionen)** die Option **Expand all (Alle erweitern)** und danach die für die IAM-Richtlinie erforderlichen AWS Lambda -Berechtigungen aus.
Stellen Sie sicher, dass `InvokeFunction` ausgewählt ist. Dies ist die Mindestberechtigung, die erforderlich ist, damit Amazon Aurora eine AWS Lambda Funktion aufrufen kann.
1. Wählen Sie **Ressourcen** und dann **ARN hinzufügen** für **Funktion**.
1. Geben Sie im Dialogfeld **ARN(s) hinzufügen** die Details zu Ihrer Ressource an.
Geben Sie die Lambda-Funktion an, wofür der Zugriff erlaubt werden soll. Wenn Sie beispielsweise Aurora den Zugriff auf eine Lambda-Funktion mit dem Namen `example_function` erlauben möchten, stellen Sie den ARN-Wert auf `arn:aws:lambda:::function:example_function` ein.
Weitere Informationen zur Definition einer Zugriffsrichtlinie für AWS Lambda finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-auth-and-access-control.html).
1. Wählen Sie optional **Zusätzliche Berechtigungen hinzufügen**, um der Richtlinie eine weitere AWS Lambda Funktion hinzuzufügen, und wiederholen Sie die vorherigen Schritte für die Funktion.
**Anmerkung**
Sie können dies wiederholen, um Ihrer Richtlinie für jede Funktion, auf die Aurora zugreifen soll, entsprechende AWS Lambda Funktionsberechtigungserklärungen hinzuzufügen.
1. Wählen Sie **Richtlinie prüfen**.
1. Stellen Sie ** Name** auf einen Namen für Ihre IAM-Zugriffsrichtlinie ein, zum Beispiel `AllowAuroraToExampleFunction`. Sie verwenden diesen Namen, wenn Sie eine IAM-Rolle erstellen, um sie Ihrem Aurora-DB-Cluster zuzuweisen. Sie können auch einen optionalen Wert für **Description (Beschreibung)** hinzufügen.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Führen Sie die Schritte unter au [Eine IAM-Rolle erstellen, um Amazon Aurora den Zugriff auf AWS Services zu ermöglichen](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Eine IAM-Richtlinie für den Zugriff auf CloudWatch Logs-Ressourcen erstellen
Aurora kann auf CloudWatch Logs zugreifen, um Audit-Log-Daten aus einem Aurora-DB-Cluster zu exportieren. Sie müssen jedoch zunächst eine IAM-Richtlinie erstellen, die die Protokollgruppen- und Protokollstream-Berechtigungen bereitstellt, die Aurora den Zugriff auf CloudWatch Logs ermöglichen.
Die folgende Richtlinie fügt die Berechtigungen hinzu, die Aurora benötigt, um in Ihrem Namen auf Amazon CloudWatch Logs zuzugreifen, und die erforderlichen Mindestberechtigungen, um Protokollgruppen zu erstellen und Daten zu exportieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
},
{
"Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutRetentionPolicy",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
}
]
}
```
------
Sie können die ARNs in der Richtlinie enthaltenen Änderungen ändern, um den Zugriff auf eine bestimmte AWS Region und ein bestimmtes Konto zu beschränken.
Sie können die folgenden Schritte verwenden, um eine IAM-Richtlinie zu erstellen, die die Mindestberechtigungen für Aurora bereitstellt, um in Ihrem Namen auf CloudWatch Logs zuzugreifen. Um Aurora vollen Zugriff auf CloudWatch Logs zu gewähren, können Sie diese Schritte überspringen und die `CloudWatchLogsFullAccess` vordefinierte IAM-Richtlinie verwenden, anstatt Ihre eigene zu erstellen. Weitere Informationen finden Sie unter [Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für CloudWatch Protokolle](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl) im * CloudWatch Amazon-Benutzerhandbuch*.
**So erstellen Sie eine IAM-Richtlinie, um Zugriff auf Ihre Logs-Ressourcen zu gewähren CloudWatch**
1. Öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie auf der Registerkarte **Visual Editor** die Option **Service auswählen** und dann **CloudWatchLogs** aus.
1. Wählen Sie für **Aktionen** die Option **Alle erweitern** (rechts) und wählen Sie dann die Amazon CloudWatch Logs-Berechtigungen aus, die für die IAM-Richtlinie erforderlich sind.
Vergewissern Sie sich, dass die folgenden Berechtigungen ausgewählt sind:
+ `CreateLogGroup`
+ `CreateLogStream`
+ `DescribeLogStreams`
+ `GetLogEvents`
+ `PutLogEvents`
+ `PutRetentionPolicy`
1. Wählen Sie **Ressourcen** und dann **ARN hinzufügen** für **log-group (Protokollgruppe)**.
1. Geben Sie im Dialogfeld **ARN(s) hinzufügen** die folgenden Werte ein:
+ **Region** — Eine AWS Region oder `*`
+ **Konto** – Eine Kontonummer oder `*`
+ **Protokollgruppenname** – `/aws/rds/*`
1. Wählen Sie im Dialogfeld **Add ARN(s) (ARN(s) hinzufügen)** **Add (Hinzufügen)**.
1. Wählen Sie **ARN hinzufügen** für **log-stream (Protokollstream)**.
1. Geben Sie im Dialogfeld **ARN(s) hinzufügen** die folgenden Werte ein:
+ **Region** — Eine AWS Region oder `*`
+ **Konto** – Eine Kontonummer oder `*`
+ **Protokollgruppenname** – `/aws/rds/*`
+ **Protokollstreamname** – `*`
1. Wählen Sie im Dialogfeld **Add ARN(s) (ARN(s) hinzufügen)** **Add (Hinzufügen)**.
1. Wählen Sie **Richtlinie prüfen**.
1. Stellen Sie ** Name** auf einen Namen für Ihre IAM-Zugriffsrichtlinie ein, zum Beispiel `AmazonRDSCloudWatchLogs`. Sie verwenden diesen Namen, wenn Sie eine IAM-Rolle erstellen, um sie Ihrem Aurora-DB-Cluster zuzuweisen. Sie können auch einen optionalen Wert für **Description (Beschreibung)** hinzufügen.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Führen Sie die Schritte unter au [Eine IAM-Rolle erstellen, um Amazon Aurora den Zugriff auf AWS Services zu ermöglichen](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Erstellen einer IAM-Richtlinie für den Zugriff auf Ressourcen AWS KMS
Aurora kann auf die AWS KMS keys zugreifen, die für die Verschlüsselung ihrer Datenbanksicherungen verwendet wird. Sie müssen jedoch zunächst eine IAM-Richtlinie erstellen, die Aurora den Zugriff auf KMS-Schlüssel erlaubt.
Die folgende Richtlinie fügt die Berechtigungen hinzu, die Aurora für den Zugriff auf KMS-Schlüssel in Ihrem Namen benötigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToAccessKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-ID"
}
]
}
```
------
Anhand der folgenden Schritte können Sie eine IAM-Richtlinie erstellen, die Aurora die erforderlichen Mindestberechtigungen für den Zugriff auf KMS-Schlüssel in Ihrem Namen erteilt.
**So erstellen Sie eine IAM-Richtlinie zum Gewähren des Zugriffs auf Ihre KMS-Schlüssel**
1. Öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie auf der Registerkarte **Visueller Editor** die Option **Service auswählen** und dann **KMS** aus.
1. Wählen Sie unter **Actions (Aktionen)** die Option **Write (Schreiben)** und danach **Decrypt (Entschlüsseln)** aus.
1. Wählen Sie **Ressourcen** und danach **ARN hinzufügen**.
1. Geben Sie im Dialogfeld **ARN(s) hinzufügen** die folgenden Werte ein:
+ **Region** — Geben Sie die AWS Region ein, z. B. `us-west-2`
+ **Konto** – Geben Sie die Nummer des Benutzerkontos ein.
+ **Log Stream Name** - Geben Sie den KMS-Schlüsselbezeichner ein.
1. Wählen Sie im Dialogfeld **Add ARN(s) (ARN(s) hinzufügen)** **Add (Hinzufügen)**.
1. Wählen Sie **Richtlinie prüfen**.
1. Stellen Sie ** Name** auf einen Namen für Ihre IAM-Zugriffsrichtlinie ein, zum Beispiel `AmazonRDSKMSKey`. Sie verwenden diesen Namen, wenn Sie eine IAM-Rolle erstellen, um sie Ihrem Aurora-DB-Cluster zuzuweisen. Sie können auch einen optionalen Wert für **Description (Beschreibung)** hinzufügen.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Führen Sie die Schritte unter au [Eine IAM-Rolle erstellen, um Amazon Aurora den Zugriff auf AWS Services zu ermöglichen](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Eine IAM-Rolle erstellen, um Amazon Aurora den Zugriff auf AWS Services zu ermöglichen
Nachdem Sie eine IAM-Richtlinie erstellt haben, die Aurora den Zugriff auf AWS Ressourcen ermöglicht, müssen Sie eine IAM-Rolle erstellen und die IAM-Richtlinie an die neue IAM-Rolle anhängen.
Gehen Sie wie folgt vor, um eine IAM-Rolle zu erstellen, die Ihrem Amazon-RDS-Cluster die Kommunikation mit anderen AWS -Services für Sie ermöglicht.
**Um eine IAM-Rolle zu erstellen, um Amazon RDS den Zugriff auf AWS Services zu ermöglichen**
1. Öffnen Sie die [IAM-Konsole](https://console.aws.amazon.com/iam/home?#home).
1. Wählen Sie im Navigationsbereich **Roles** aus.
1. Wählen Sie **Create role** (Rolle erstellen) aus.
1. Wählen Sie unter **AWS -Service****RDS**.
1. Wählen Sie unter **Select your use case (Anwendungsfall auswählen)** die Option **RDS – Add Role to Database (RDS Rolle zur Datenbank hinzufügen)** aus.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Attach permissions policies** (Berechtigungsrichtlinien anfügen) den Namen Ihrer Richtlinie im Feld **Search** (Suchen) ein.
1. Wenn die zuvor definierte Richtlinie in der Liste angezeigt wird, wählen Sie diese entsprechend den Anweisungen in einem der folgenden Abschnitte aus:
+ [Erstellen einer IAM-Zugriffsrichtlinie für Amazon S3-Ressourcen](AuroraMySQL.Integrating.Authorizing.IAM.S3CreatePolicy.md)
+ [Erstellen einer IAM-Richtlinie für den Zugriff auf Ressourcen AWS Lambda](AuroraMySQL.Integrating.Authorizing.IAM.LambdaCreatePolicy.md)
+ [Eine IAM-Richtlinie für den Zugriff auf CloudWatch Logs-Ressourcen erstellen](AuroraMySQL.Integrating.Authorizing.IAM.CWCreatePolicy.md)
+ [Erstellen einer IAM-Richtlinie für den Zugriff auf Ressourcen AWS KMS](AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy.md)
1. Wählen Sie **Weiter** aus.
1. Geben Sie unter **Role name (Rollenname)** einen Namen für Ihre IAM-Rolle ein, z. B. `RDSLoadFromS3`. Sie können auch einen optionalen Wert für **Description (Beschreibung)** hinzufügen.
1. Wählen Sie **Rolle erstellen** aus.
1. Führen Sie die Schritte unter au [Zuweisen einer IAM-Rolle zu einem Amazon-Aurora-MySQL-DB-Cluster](AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.md).
# Zuweisen einer IAM-Rolle zu einem Amazon-Aurora-MySQL-DB-Cluster
Um Datenbankbenutzern in einem Amazon Aurora Aurora-DB-Cluster den Zugriff auf andere AWS Services zu ermöglichen, ordnen Sie die IAM-Rolle, in [Eine IAM-Rolle erstellen, um Amazon Aurora den Zugriff auf AWS Services zu ermöglichen](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md) der Sie erstellt haben, diesem DB-Cluster zu. Sie können auch eine neue IAM-Rolle durch AWS erstellen lassen, indem Sie den Service direkt zuordnen.
**Anmerkung**
Sie können keine IAM-Rolle mit einem Aurora Serverless v1-DB-Cluster verknüpfen. Weitere Informationen finden Sie unter [Verwenden von Amazon Aurora Serverless v1](aurora-serverless.md).
Sie können eine IAM-Rolle mit einem DB-Cluster von Aurora Serverless v2verknüpfen.
Sie müssen zwei Dinge tun, um eine IAM-Rolle mit einem DB-Cluster zu verbinden:
1. Fügen Sie die Rolle mithilfe der RDS-Konsole, des AWS CLI Befehls [add-role-to-db-cluster oder der [AddRoleToDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AddRoleToDBCluster.html)RDS-API-Operation zur Liste der zugehörigen Rollen für einen DB-Cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/add-role-to-db-cluster.html) hinzu.
Sie können maximal fünf IAM-Rollen für jeden Aurora-DB-Cluster hinzufügen.
1. Setzen Sie den Parameter auf Clusterebene für den zugehörigen AWS Dienst auf den ARN für die zugehörige IAM-Rolle.
Die folgende Tabelle beschreibt die Cluster-Level-Parameter-Namen für die IAM-Rollen, die für den Zugriff auf andere AWS -Services verwendet werden.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.html)
Gehen Sie wie folgt vor, um Ihrem Amazon RDS-Cluster die Kommunikation mit anderen AWS Services in Ihrem Namen zu ermöglichen, eine IAM-Rolle zuzuweisen.
## Konsole
**Sie müssen zwei Dinge tun, um eine IAM-Rolle einem Aurora-DB-Cluster mithilfe der Konsole zuzuweisen:**
1. Öffnen Sie die RDS-Konsole in [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/):
1. Wählen Sie **Datenbanken** aus.
1. Wählen Sie den Namen des Aurora-DB-Clusters, den Sie einer IAM-Rolle zuweisen möchten, aus, um die entsprechenden Details anzuzeigen.
1. Führen Sie auf der Registerkarte **Konnektivität und Sicherheit** im Abschnitt **IAM-Rollen verwalten** eine der folgenden Aktionen aus:
+ **IAM-Rollen auswählen, die diesem Cluster hinzugefügt werden sollen** (Standard)
+ **Einen Service zum Herstellen einer Verbindung mit diesem Cluster auswählen**
![\[Zuweisen einer IAM-Rolle zu einem DB-Cluster\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/AuroraAssociateIAMRole-02.png)
1. Wenn Sie eine vorhandene IAM-Rolle verwenden möchten, wählen Sie diese aus dem Menü aus und klicken Sie dann auf **Add role** (Rolle hinzufügen).
Wenn die Rolle erfolgreich hinzugefügt wurde, wird ihr Status als `Pending` und dann als `Available` angezeigt.
1. So verbinden Sie einen Service direkt:
1. Wählen Sie **Select a service to connect to this cluster** (Einen Service zum Herstellen einer Verbindung mit diesem Cluster auswählen) aus.
1. Wählen Sie den Service aus dem Menü aus und klicken Sie dann auf **Connect service** (Service verbinden).
1. Geben **Sie für Connect cluster to** den Amazon-Ressourcennamen (ARN) ein*Service Name*, der für die Verbindung mit dem Service verwendet werden soll, und wählen Sie dann **Connect service** aus.
AWS erstellt eine neue IAM-Rolle für die Verbindung mit dem Service. Der Status wird als `Pending` und dann als `Available` angezeigt.
1. (Optional) Wenn Sie die Zuordnung einer IAM-Rolle mit einem DB-Cluster aufheben und die zugehörige Berechtigung entziehen möchten, wählen Sie die Rolle und dann **Delete** (Löschen) aus.
**So legen Sie den Cluster-Level-Parameter für die zugeordnete Rolle fest**
1. Wählen Sie in der RDS-Konsole **Parametergruppen** im Navigationsbereich aus.
1. Wenn Sie bereits eine benutzerdefinierte DB-Parametergruppe verwenden, können Sie diese Gruppe auswählen, statt eine neue DB-Cluster-Parametergruppe zu erstellen. Wenn Sie die Standard-DB-Cluster-Parametergruppe verwenden, erstellen Sie eine neue DB-Cluster-Parametergruppe, wie in den folgenden Schritten beschrieben ist:
1. Wählen Sie **Parametergruppe erstellen**.
1. Wählen Sie für **Parametergruppenfamilie** für einen mit Aurora MySQL 5.6 kompatiblen DB-Cluster `aurora-mysql8.0`, oder `aurora-mysql5.7` für einen mit Aurora MySQL 5.7 kompatiblen DB-Cluster.
1. Wählen Sie für **Typ** die Option **DB-Cluster-Parametergruppe**.
1. Geben Sie für **Gruppenname** den Namen Ihrer neuen DB-Cluster-Parametergruppe ein.
1. Geben Sie unter **Beschreibung** die Beschreibung für Ihre neue DB-Cluster-Parametergruppe ein.
![\[Erstellen einer DB-Cluster-Parametergruppe\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/AuroraAssociateIAMRole-03.png)
1. Wählen Sie **Create** aus.
1. Wählen Sie auf der Seite **Parameter Groups (Parametergruppen)** Ihre DB-Cluster-Parametergruppe und danach die Option **Edit (Bearbeiten)** unter **Parameter group actions (Parametergruppenaktionen)** aus.
1. Legen Sie die entsprechenden Cluster-Level-[Parameter](#aurora_cluster_params_iam_roles) für die zugehörigen ARN-Werte der IAM-Rolle fest.
Sie können beispielsweise den Parameter `aws_default_s3_role` auf `arn:aws:iam::123456789012:role/AllowS3Access` einstellen.
1. Wählen Sie **Änderungen speichern**.
1. Um die DB-Cluster-Parametergruppe für Ihren DB-Cluster zu ändern, führen Sie die folgenden Schritte aus:
1. Wählen Sie **Datenbanken** aus und wählen Sie dann Ihren Aurora DB-Cluster aus.
1. Wählen Sie **Ändern** aus.
1. Blättern Sie zu **Datenbankoptionen** und legen Sie **DB-Cluster-Parametergruppe** auf die DB-Cluster-Parametergruppe fest.
1. Klicken Sie auf **Weiter**.
1. Überprüfen Sie Ihre Änderungen, und klicken Sie anschließend auf **Sofort anwenden**.
1. Wählen Sie **Modify Cluster (Cluster ändern)** aus.
1. Wählen Sie **Databases (Datenbanken)** und anschließend die primäre Instance für Ihren DB-Cluster aus.
1. Wählen Sie unter **Aktionen** die Option **Neustart** aus.
Wenn die Instance neu gestartet wurde, wird Ihre IAM-Rolle Ihrem DB-Cluster zugewiesen.
Weitere Informationen zu Cluster-Parametergruppen finden Sie unter [Aurora MySQL Konfigurationsparameter](AuroraMySQL.Reference.ParameterGroups.md).
## CLI
**Um eine IAM-Rolle einem DB-Cluster zuzuordnen, verwenden Sie AWS CLI**
1. Rufen Sie den `add-role-to-db-cluster` Befehl von AWS CLI auf, um die ARNs für Ihre IAM-Rollen zum DB-Cluster hinzuzufügen, wie im Folgenden gezeigt.
```
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole
```
1. Wenn Sie die Standard-DB-Cluster-Parametergruppe verwenden, erstellen Sie eine neue DB-Cluster-Parametergruppe. Wenn Sie bereits eine benutzerdefinierte DB-Parametergruppe verwenden, können Sie diese Gruppe verwenden, anstatt eine neue DB-Cluster-Parametergruppe zu erstellen.
Um eine neue DB-Cluster-Parametergruppe zu erstellen, rufen Sie den `create-db-cluster-parameter-group` Befehl von aus auf AWS CLI, wie im Folgenden gezeigt.
```
PROMPT> aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
--db-parameter-group-family aurora5.7 --description "Allow access to Amazon S3 and AWS Lambda"
```
Für einen mit Aurora MySQL 5.7 kompatiblen DB-Cluster geben Sie `aurora-mysql5.7` für `--db-parameter-group-family` an. Für einen mit Aurora MySQL 8.0 kompatiblen DB-Cluster geben Sie `aurora-mysql8.0` für `--db-parameter-group-family` an.
1. Stellen Sie den/die entsprechenden Cluster-Level-Parameter und die zugehörigen ARN-Werte der IAM-Rolle in Ihrer DB-Cluster-Parametergruppe ein, wie im Folgenden gezeigt.
```
PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
--parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \
--parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"
```
1. Ändern Sie das DB-Cluster, um die neue DB-Clusterparametergruppe zu verwenden und starten Sie das Cluster anschließend neu, wie im Folgenden gezeigt.
```
PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess
PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary
```
Wenn die Instance neu gestartet ist, sind Ihre IAM-Rollen Ihrem DB-Cluster zugewiesen.
Weitere Informationen zu Cluster-Parametergruppen finden Sie unter [Aurora MySQL Konfigurationsparameter](AuroraMySQL.Reference.ParameterGroups.md).