Étape 1 : créer un rôle IAM pour votre instance de base de données et attacher votre politique Étape 2 : créer une politique de système de fichiers pour votre système de fichiers Amazon EFS Étape 3 : associer votre rôle IAM à votre instance de base de données RDS for Oracle.

Configuration des autorisations IAM pour l'intégration de RDS for Oracle avec Amazon EFS

Par défaut, la fonctionnalité d'intégration Amazon EFS n'utilise pas de rôle IAM : le paramètre de l'USE_IAM_ROLEoption est FALSE défini comme suit. Pour intégrer RDS for Oracle à Amazon EFS et à un rôle IAM, votre instance de base de données doit disposer des autorisations IAM pour accéder à un système de fichiers Amazon EFS.

Rubriques

Étape 1 : créer un rôle IAM pour votre instance de base de données et attacher votre politique
Étape 2 : créer une politique de système de fichiers pour votre système de fichiers Amazon EFS
Étape 3 : associer votre rôle IAM à votre instance de base de données RDS for Oracle.

Étape 1 : créer un rôle IAM pour votre instance de base de données et attacher votre politique

Dans cette étape, vous créez un rôle pour votre instance de base de données RDS for Oracle afin d'autoriser Amazon RDS à accéder à votre système de fichiers EFS.

Pour créer un rôle IAM afin d'autoriser Amazon RDS à accéder à un système de fichiers EFS

Ouvrez IAM Management Console.
Dans le panneau de navigation, choisissez Roles (Rôles).
Sélectionnez Create role (Créer un rôle).
Pour AWS Service, choisissez RDS.
Pour Sélectionner votre cas d'utilisation, choisissez RDS – Ajouter un rôle à la base de données.
Choisissez Suivant.
N'ajoutez aucune politique d'autorisation. Choisissez Suivant.
DansNom du rôle, attribuez un nom à votre rôle IAM, par exemple, rds-efs-integration-role. Vous pouvez également ajouter une valeur Description facultative.
Choisissez Créer un rôle.

Pour limiter les autorisations du service à une ressource spécifique, nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans des relations d'approbation basées sur les ressources. C'est le moyen le plus efficace de se protéger contre le problème du député confus.

Vous pouvez utiliser les deux clés de contexte de condition globale et faire en sorte que la valeur aws:SourceArn contienne l'ID de compte. Dans ce cas, la valeur aws:SourceAccount et le compte dans la valeur aws:SourceArn doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction.

Utilisez aws:SourceArn si vous souhaitez un accès interservices pour une seule ressource.
Utilisez aws:SourceAccount si vous souhaitez autoriser une ressource de ce compte à être associée à l'utilisation interservices.

Dans la relation d'approbation, assurez-vous d'utiliser la clé de contexte de condition globale aws:SourceArn avec l'Amazon Resource Name (ARN) complet des ressources qui accèdent au rôle.

La AWS CLI commande suivante crée le rôle nommé rds-efs-integration-role à cet effet.

Exemple

Pour LinuxmacOS, ou Unix :


aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Dans Windows :


aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Pour plus d’informations, consultez Création d’un rôle pour déléguer des autorisations à un utilisateur IAM dans le Guide de l’utilisateur IAM.

Étape 2 : créer une politique de système de fichiers pour votre système de fichiers Amazon EFS

Dans cette étape, vous créez une politique de système de fichiers pour votre système de fichiers EFS.

Pour créer ou modifier une politique de système de fichiers EFS

Ouvrez la console de gestion EFS.
Choisissez Systèmes de fichiers.
Sur la page Système de fichiers, choisissez le système de fichiers pour lequel vous souhaitez modifier ou créer une politique de système de fichiers. La page de détails de ce système de fichiers s'affiche.
Choisissez l'onglet File system policy (Politique de système de fichiers).

Si la politique est vide, la politique de système de fichiers EFS par défaut est utilisée. Pour plus d'informations, consultez Default EFS file system policy (Politique de système de fichiers EFS par défaut) dans le Guide de l'utilisateur Amazon Elastic File System.
Choisissez Modifier. La page Politique du système de fichiers s’affiche.

Dans Policy editor (Éditeur de politique), entrez une politique telle que la suivante, puis choisissez Enregistrer.

Étape 3 : associer votre rôle IAM à votre instance de base de données RDS for Oracle.

Dans cette étape, vous associez votre rôle IAM à votre instance de base de données. Tenez compte des exigences suivantes :

Vous devez avoir accès à un rôle IAM auquel est attachée la politique d'autorisations Amazon EFS requise.
Vous pouvez associer un seul rôle IAM à la fois avec votre instance de base de données RDS for Oracle.
Le statut de votre instance doit être Available (Disponible).

Pour plus d'informations, consultez Identity and access management for Amazon EFS (Gestion des identités et des accès pour Amazon EFS) dans le guide de l'utilisateur Amazon Elastic File System.

Pour associer votre rôle IAM à votre instance de base de données RDS for Oracle

Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/l'adresse.
Choisissez Databases (Bases de données).
Si votre instance de base de données n'est pas disponible, choisissez Actions , puis Start (Démarrer). Lorsque le statut de l'instance affiche Started (Démarré), passez à l'étape suivante.
Choisissez le nom de l'instance de base de données Oracle pour afficher ses détails.
Dans l'onglet Connectivity & security (Connectivité & sécurité), faites défiler l'écran jusqu'à l'onglet Manage IAM roles (Gérer les rôles IAM) au bas de la page.
Choisissez le rôle à ajouter dans la partie Add IAM roles to this instance (Ajouter des rôles IAM à cette instance).
Pour Feature (Fonction), choisissez EFS_INTEGRATION.
Choisissez Ajouter un rôle.

La AWS CLI commande suivante ajoute le rôle à une instance de base de données Oracle nomméemydbinstance.

Exemple

Pour LinuxmacOS, ou Unix :


aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn

Dans Windows :


aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn

Remplacez your-role-arn par l'ARN du rôle que vous avez noté lors d'une étape précédente. EFS_INTEGRATION doit être spécifié pour l'option --feature-name.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration des autorisations de réseau

Ajouter l'EFSoption