Verwenden von serviceverknüpften Rollen für Oracle Database@AWS - Oracle Database@AWS
Dienstbezogene Rollenberechtigungen für Oracle Database@AWSUnterstützte Regionen für Oracle Database@AWS serviceverknüpfte Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Oracle Database@AWS

Oracle Database@AWS verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. Oracle Database@AWS Mit Diensten verknüpfte Rollen sind vordefiniert Oracle Database@AWS und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS-Services in Ihrem Namen anzurufen.

Eine dienstbezogene Rolle Oracle Database@AWS erleichtert die Verwendung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Oracle Database@AWS definiert die Berechtigungen ihrer dienstbezogenen Rollen und Oracle Database@AWS kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dadurch werden Ihre Oracle Database@AWS Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Mit dem Dienst verknüpfte Rollenberechtigungen für Oracle Database@AWS

Oracle Database@AWS verwendet die dienstgebundene Rolle namens AWSService RoleFor ODB, um Anrufe im Namen Ihrer Ressourcen Oracle Database@AWS AWS-Services zu ermöglichen.

Die dienstgebundene AWSService RoleFor ODB-Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • odb.amazonaws.com

  • vpc-lattice.amazonaws.com

Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonODBServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: Amazon ODBService RolePolicy.

Anmerkung

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie die folgende Fehlermeldung erhalten:

Unable to create the resource. Stellen Sie sicher, dass Sie berechtigt sind, eine dienstverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.

Stellen Sie sicher, dass Sie die folgenden Berechtigungen für Sie aktiviert sind:

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/odb.amazonaws.com/AWSServiceRoleForODB",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"odb.amazonaws.com",
            "iam:AWSServiceName":"vpc-lattice.amazonaws.com"
        }
    }
}

Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für Oracle Database@AWS

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Exadata-Datenbank erstellen, Oracle Database@AWS wird die dienstbezogene Rolle für Sie erstellt.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine Exadata-Datenbank erstellen, Oracle Database@AWS wird die serviceverknüpfte Rolle erneut für Sie erstellt.

Bearbeitung einer serviceverknüpften Rolle für Oracle Database@AWS

Oracle Database@AWS erlaubt es Ihnen nicht, die dienstverknüpfte AWSService RoleFor ODB-Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe von IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Oracle Database@AWS

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle Ihre Ressourcen löschen, bevor Sie die dienstverknüpfte Rolle löschen können.

Bereinigen einer dienstbezogenen Rolle für Oracle Database@AWS

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der AWSService RoleFor ODB-Rolle aus.

  3. Wählen Sie auf der Seite Summary (Zusammenfassung) für die ausgewählte Rolle die Registerkarte Access Advisor (Advisor aufrufen) aus.

  4. Überprüfen Sie auf der Registerkarte Access Advisor die jüngsten Aktivitäten für die serviceverknüpfte Rolle.

Anmerkung

Wenn Sie sich nicht sicher sind, ob die AWSService RoleFor ODB-Rolle verwendet Oracle Database@AWS wird, können Sie versuchen, die Rolle zu löschen. Wenn der Dienst die Rolle verwendet, schlägt das Löschen fehl und Sie können sehen AWS-Regionen , wo die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Wenn Sie die AWSService RoleFor ODB-Rolle entfernen möchten, müssen Sie zuerst alle Ihre Oracle Database@AWS Ressourcen löschen.

Unterstützte Regionen für Oracle Database@AWS serviceverknüpfte Rollen

Oracle Database@AWS unterstützt die Verwendung von dienstbezogenen Rollen überall dort, AWS-Regionen wo der Dienst verfügbar ist. Weitere Informationen finden Sie unter AWS-Regionen und Endpunkte.