Prérequis pour l'intégration de RDS for SQL Server avec S3 - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis pour l'intégration de RDS for SQL Server avec S3

Avant de commencer, recherchez ou créez le compartiment S3 que vous souhaitez utiliser. De plus, ajoutez des autorisations afin que l'instance de base de données RDS puisse accéder au compartiment S3. Pour configurer cet accès, vous créez une stratégie et un rôle IAM.

Pour créer une stratégie IAM afin d'accéder à Amazon S3

  1. Dans la console IAM Management Console, choisissez Stratégie dans le panneau de navigation.

  2. Créez une nouvelle stratégie et utilisez l'onglet Éditeur visuel pour exécuter les étapes suivantes.

  3. Pour Service, saisissez S3 et choisissez le service S3.

  4. Pour Actions, choisissez les actions suivantes pour accorder l'accès nécessaire à votre instance de base de données :

    • ListAllMyBuckets – Obligatoire

    • ListBucket – Obligatoire

    • GetBucketAcl – Obligatoire

    • GetBucketLocation – Obligatoire

    • GetObject – Obligatoire pour télécharger des fichiers depuis S3 vers D:\S3\

    • PutObject – Obligatoire pour charger des fichiers depuis D:\S3\ vers S3

    • ListMultipartUploadParts – Obligatoire pour charger des fichiers depuis D:\S3\ vers S3

    • AbortMultipartUpload – Obligatoire pour charger des fichiers depuis D:\S3\ vers S3

  5. Pour Ressources, les options qui s'affichent dépendent des actions choisies dans l'étape précédente. Vous pourrez voir des options pour compartiment, objet ou les deux. Pour chacune d'entre elles, ajoutez l'Amazon Resource Name (ARN) approprié.

    Pour compartiment, ajoutez l'ARN du compartiment que vous souhaitez utiliser. Par exemple, si votre compartiment est nommé amzn-s3-demo-bucket, définissez l'ARN sur arn:aws:s3:::amzn-s3-demo-bucket.

    Pour objet, saisissez l'ARN pour le compartiment, puis choisissez l'une des options suivantes :

    • Pour accorder l'accès à tous les fichiers d'un compartiment spécifié, choisissez Tous pour le Bucket name (Nom du compartiment) et le Object name (Nom de l'objet).

    • Pour accorder l'accès à des fichiers ou à des dossiers spécifiques du bucket, ARNs indiquez les buckets et les objets spécifiques auxquels vous souhaitez que SQL Server accède.

  6. Suivez les instructions dans la console jusqu'à la création de la stratégie.

    Ce qui précède est un guide abrégé pour configurer une stratégie. Pour obtenir des instructions détaillées sur la création de stratégies IAM, veuillez consulter Création de stratégies IAM dans le Guide de l'utilisateur IAM.

Pour créer un rôle IAM utilisant la stratégie IAM de la procédure précédente.

  1. Dans la console IAM Management Console, choisissez Rôles dans le panneau de navigation.

  2. Créez un rôle IAM et choisissez les options suivantes à mesure qu'elles s'affichent dans la console :

    • AWS web

    • RDS

    • RDS – Ajoutez un rôle à la base de données

    Ensuite, choisissez Suivant : Autorisations en bas.

  3. Pour Attach permissions policies (Attacher des stratégies d'autorisations), saisissez le nom de la stratégie IAM précédemment créée. Ensuite, choisissez la stratégie dans la liste.

  4. Suivez les instructions dans la console jusqu'à la création du rôle.

    Ce qui précède est un guide abrégé pour configurer un rôle. Pour obtenir des instructions plus détaillées sur la création des rôles, veuillez consulter Rôles IAM dans le Guide de l'utilisateur IAM.

Pour accorder à Amazon RDS l'accès à un compartiment Amazon S3, procédez comme suit :

  1. Créez une stratégie IAM qui accorde à Amazon RDS l'accès à un compartiment S3.

  2. Créez un rôle IAM qu'Amazon RDS peut endosser en votre nom pour accéder à vos compartiments S3.

    Pour plus d’informations, consultez Création d’un rôle pour déléguer des autorisations à un utilisateur IAM dans le Guide de l’utilisateur IAM.

  3. Attachez la politique IAM que vous avez créée au rôle IAM que vous venez de créer.

Pour créer la stratégie IAM

Ajoutez les actions appropriées pour accorder l'accès nécessaire à votre instance de base de données :

  • ListAllMyBuckets – Obligatoire

  • ListBucket – Obligatoire

  • GetBucketAcl – Obligatoire

  • GetBucketLocation – Obligatoire

  • GetObject – Obligatoire pour télécharger des fichiers depuis S3 vers D:\S3\

  • PutObject – Obligatoire pour charger des fichiers depuis D:\S3\ vers S3

  • ListMultipartUploadParts – Obligatoire pour charger des fichiers depuis D:\S3\ vers S3

  • AbortMultipartUpload – Obligatoire pour charger des fichiers depuis D:\S3\ vers S3

  1. La AWS CLI commande suivante crée une politique IAM nommée rds-s3-integration-policy avec ces options. Elle accorde un accès à un compartiment nommé amzn-s3-demo-bucket.

    Pour LinuxmacOS, ou Unix :

    aws iam create-policy \
	 --policy-name rds-s3-integration-policy \
	 --policy-document '{
	        "Version": "2012-10-17",
	        "Statement": [
	            {
	                "Effect": "Allow",
	                "Action": "s3:ListAllMyBuckets",
	                "Resource": "*"
	            },
	            {
	                "Effect": "Allow",
	                "Action": [
	                    "s3:ListBucket",
	                    "s3:GetBucketAcl",
	                    "s3:GetBucketLocation"
	                ],
	                "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
	            },
	            {
	                "Effect": "Allow",
	                "Action": [
	                    "s3:GetObject",
	                    "s3:PutObject",
	                    "s3:ListMultipartUploadParts",
	                    "s3:AbortMultipartUpload"
	                ],
	                "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/key_prefix/*"
	            }
	        ]
	    }'

    Dans Windows :

    Veillez à remplacer les fins de ligne par celles prises en charge par votre interface (^ au lieu de \). De plus, dans Windows, vous devez utiliser une séquence d'échappement sur tous les guillemets doubles avec un \. Pour éviter d'utiliser une séquence d'échappement sur tous les guillemets dans le JSON, vous pouvez l'enregistrer dans un fichier et le transmettre en tant que paramètre.

    Tout d'abord, créez le fichier policy.json avec la stratégie d'autorisation suivante :

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketACL",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/key_prefix/*"
        }
    ]
}

    Ensuite, utilisez la commande suivante pour créer la stratégie :

    aws iam create-policy ^
     --policy-name rds-s3-integration-policy ^
     --policy-document file://file_path/assume_role_policy.json

  2. Après avoir créé la stratégie, notez son ARN (Amazon Resource Name). Vous aurez besoin de l'ARN lors d'une étape ultérieure.

Pour créer le rôle IAM

  • La AWS CLI commande suivante crée le rôle rds-s3-integration-role IAM à cette fin.

    Pour LinuxmacOS, ou Unix :

    aws iam create-role \
	   --role-name rds-s3-integration-role \
	   --assume-role-policy-document '{
	     "Version": "2012-10-17",
	     "Statement": [
	       {
	         "Effect": "Allow",
	         "Principal": {
	            "Service": "rds.amazonaws.com"
	          },
	         "Action": "sts:AssumeRole"
	       }
	     ]
	   }'

    Dans Windows :

    Veillez à remplacer les fins de ligne par celles prises en charge par votre interface (^ au lieu de \). De plus, dans Windows, vous devez utiliser une séquence d'échappement sur tous les guillemets doubles avec un \. Pour éviter d'utiliser une séquence d'échappement sur tous les guillemets dans le JSON, vous pouvez l'enregistrer dans un fichier et le transmettre en tant que paramètre.

    Tout d'abord, créez le fichier assume_role_policy.json avec la stratégie suivante :

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Ensuite, utilisez la commande suivante pour créer le rôle IAM :

    aws iam create-role ^
     --role-name rds-s3-integration-role ^
     --assume-role-policy-document file://file_path/assume_role_policy.json
    Exemple d'utiliser la clé de contexte de condition globale pour créer le rôle IAM

    Nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans des politiques basées sur les ressources pour limiter les autorisations du service à une ressource spécifique. C'est le moyen le plus efficace de se protéger contre le problème du député confus.

    Vous pouvez utiliser les deux clés de contexte de condition globale et faire en sorte que la valeur aws:SourceArn contienne l'ID de compte. Dans ce cas, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique.

    • Utilisez aws:SourceArn si vous souhaitez un accès interservices pour une seule ressource.

    • Utilisez aws:SourceAccount si vous souhaitez autoriser une ressource de ce compte à être associée à l'utilisation interservices.

    Dans la politique, assurez-vous d'utiliser la clé de contexte de condition globale aws:SourceArn avec l'Amazon Resource Name (ARN) complet des ressources qui accèdent au rôle. Pour l'intégration S3, assurez-vous d'inclure l'instance de base de données ARNs, comme indiqué dans l'exemple suivant.

    Pour LinuxmacOS, ou Unix :

    aws iam create-role \
	   --role-name rds-s3-integration-role \
	   --assume-role-policy-document '{
	     "Version": "2012-10-17",
	     "Statement": [
	       {
	         "Effect": "Allow",
	         "Principal": {
	            "Service": "rds.amazonaws.com"
	          },
	         "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEquals": {
                        "aws:SourceArn":"arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
                    }
                }
	       }
	     ]
	   }'

    Dans Windows :

    Ajoutez la clé de contexte de condition globale à assume_role_policy.json.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn":"arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
                }
            }
        }
    ]
}
Pour attacher la politique IAM à un rôle IAM

  • La AWS CLI commande suivante associe la politique au rôle nommérds-s3-integration-role. Remplacez your-policy-arn par l'ARN de stratégie que vous avez noté lors d'une étape précédente.

    Pour LinuxmacOS, ou Unix :

    aws iam attach-role-policy \
	   --policy-arn your-policy-arn \
	   --role-name rds-s3-integration-role

    Dans Windows :

    aws iam attach-role-policy ^
	   --policy-arn your-policy-arn ^
	   --role-name rds-s3-integration-role