Mengintegrasikan Amazon RDS untuk instans Db2 DB dengan Amazon S3 - Layanan Basis Data Relasional Amazon
Buat kebijakan IAMBuat peran IAM dan lampirkan kebijakan IAM AndaTambahkan peran IAM Anda ke instans basis data Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengintegrasikan Amazon RDS untuk instans Db2 DB dengan Amazon S3

Anda dapat mentransfer file antara Amazon RDS untuk instans Db2 DB dan bucket Amazon Simple Storage Service (Amazon S3) dengan prosedur tersimpan Amazon RDS. Untuk informasi selengkapnya, lihat Amazon RDS untuk referensi prosedur tersimpan Db2.

catatan

Instans DB dan bucket Amazon S3 Anda harus berada di Wilayah AWS yang sama.

Agar RDS for Db2 yang berintegrasi dengan Amazon S3, instans basis data Anda harus memiliki akses ke bucket Amazon S3 tempat RDS for Db2 berada. Jika saat ini Anda tidak memiliki bucket S3, buat bucket.

Langkah 1: Buat kebijakan IAM

Pada langkah ini, Anda membuat kebijakan AWS Identity and Access Management (IAM) dengan izin yang diperlukan untuk mentransfer file dari bucket Amazon S3 ke instans RDS DB Anda. Langkah ini beranggapan bahwa Anda telah membuat bucket S3. Lihat informasi yang lebih lengkap di Membuat bucket dalam Panduan Pengguna Amazon S3.

Sebelum Anda membuat kebijakan, catat potongan-potongan informasi berikut:

  • Amazon Resource Name (ARN) untuk bucket Anda

  • ARN untuk kunci AWS Key Management Service (AWS KMS) Anda, jika bucket Anda menggunakan SSE-KMS atau SSE-S3 enkripsi.

Kebijakan IAM yang Anda buat harus berisi informasi berikut. Ganti {amzn-s3-demo-bucket} dengan nama bucket S3 Anda.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3BucketAccess",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::${amzn-s3-demo-bucket}/*",
                "arn:aws:s3:::${amzn-s3-demo-bucket}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Anda dapat membuat kebijakan IAM dengan menggunakan AWS Management Console atau AWS Command Line Interface (AWS CLI).

Untuk membuat kebijakan IAM untuk mengizinkan Amazon RDS mengakses bucket Amazon S3

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan, lalu pilih JSON.

  4. Tambahkan tindakan berdasarkan layanan. Untuk mentransfer file dari bucket Amazon S3 ke Amazon RDS, Anda harus memilih izin bucket dan izin objek.

  5. Perluas Sumber Daya. Anda harus menentukan sumber daya bucket dan objek.

  6. Pilih Berikutnya.

  7. Untuk Nama kebijakan, masukkan nama untuk kebijakan ini.

  8. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk kebijakan ini.

  9. Pilih Buat kebijakan.

Untuk membuat kebijakan IAM guna mengizinkan Amazon RDS mengakses bucket Amazon S3 Anda

  1. Buat file JSON yang berisi dokumen kebijakan JSON berikut. Ganti {amzn-s3-demo-bucket} dengan nama bucket S3 Anda.

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowS3BucketAccess",
            "Effect": "Allow",
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt",
                "s3:PutObject",
                "s3:GetObject",
                "s3:AbortMultipartUpload",
                "s3:ListBucket",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:GetBucketAcl",
                "s3:GetBucketLocation"
            ],
            "Resource": [
                "arn:aws:s3:::${amzn-s3-demo-bucket}/*",
                "arn:aws:s3:::${amzn-s3-demo-bucket}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  2. Jalankan perintah create-policy. Dalam contoh berikut, ganti iam_policy_name dan iam_policy_file_name dengan nama untuk kebijakan IAM Anda dan nama file JSON yang Anda buat di Langkah 1.

    Untuk Linux, macOS, atau Unix:

    aws iam create-policy \
    --policy-name iam_policy_name \
    --policy-document file://iam_policy_file_name.json

    Untuk Windows:

    aws iam create-policy ^
    --policy-name iam_policy_name ^
    --policy-document file://iam_policy_file_name.json

  3. Setelah kebijakan dibuat, catat ARN kebijakan. Anda memerlukan ARN untuk Langkah 2: Buat peran IAM dan lampirkan kebijakan IAM Anda.

Lihat informasi tentang pembuatan kebijakan IAM di Membuat kebijakan IAM dalam Panduan Pengguna IAM.

Langkah 2: Buat peran IAM dan lampirkan kebijakan IAM Anda

Langkah ini beranggapan bahwa Anda telah membuat kebijakan IAM di Langkah 1: Buat kebijakan IAM. Pada langkah ini, Anda membuat peran IAM untuk instans basis data RDS for Db2 dan kemudian melampirkan kebijakan IAM ke peran itu.

Anda dapat membuat peran IAM untuk instans DB Anda dengan menggunakan AWS Management Console atau. AWS CLI

Untuk membuat peran IAM dan melampirkan kebijakan IAM padanya

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran.

  3. Pilih Buat peran.

  4. Untuk jenis entitas tepercaya, pilih Layanan AWS.

  5. Untuk Layanan atau kasus penggunaan, pilih RDS, lalu pilih RDS Tambah Peran ke Basis Data.

  6. Pilih Berikutnya.

  7. Untuk Kebijakan izin, cari dan pilih nama kebijakan IAM yang Anda buat.

  8. Pilih Berikutnya.

  9. Untuk Nama peran, masukkan nama peran.

  10. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran baru ini.

  11. Pilih Buat peran.

Untuk membuat peran IAM dan melampirkan kebijakan IAM padanya

  1. Buat file JSON yang berisi dokumen kebijakan JSON berikut:

    JSON
    
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rds.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Jalankan perintah create-role. Dalam contoh berikut, ganti iam_role_name dan iam_assume_role_policy_file_name dengan nama untuk peran IAM Anda dan nama file JSON yang Anda buat di Langkah 1.

    Untuk Linux, macOS, atau Unix:

    aws iam create-role \
    --role-name iam_role_name \
    --assume-role-policy-document file://iam_assume_role_policy_file_name.json

    Untuk Windows:

    aws iam create-role ^
    --role-name iam_role_name ^
    --assume-role-policy-document file://iam_assume_role_policy_file_name.json

  3. Setelah peran dibuat, catat ARN peran tersebut. Anda memerlukan ARN untuk Langkah 3: Tambahkan peran IAM ke instans basis data RDS for Db2.

  4. Jalankan perintah attach-role-policy. Dalam contoh berikut, ganti iam_policy_arn dengan ARN dari kebijakan IAM yang Anda buat. Langkah 1: Buat kebijakan IAM Ganti iam_role_name dengan nama peran IAM yang baru saja Anda buat.

    Untuk Linux, macOS, atau Unix:

    aws iam attach-role-policy \
   --policy-arn iam_policy_arn \
   --role-name iam_role_name

    Untuk Windows:

    aws iam attach-role-policy ^
   --policy-arn iam_policy_arn ^
   --role-name iam_role_name

Lihat informasi yang lebih lengkap di Membuat peran untuk melimpahkan izin ke pengguna IAM dalam Panduan Pengguna IAM.

Langkah 3: Tambahkan peran IAM ke instans basis data RDS for Db2

Pada langkah ini, Anda menambahkan peran IAM ke instans basis data RDS for Db2. Perhatikan persyaratan berikut:

  • Anda harus memiliki akses ke peran IAM dengan kebijakan izin Amazon S3 yang disyaratkan terlampir padanya.

  • Anda hanya dapat mengaitkan satu peran IAM dengan instans basis data RDS for Db2 Anda pada setiap saat.

  • Instans basis data RDS for Db2 Anda harus dalam keadaan Tersedia.

Anda dapat menambahkan peran IAM ke instans DB Anda dengan menggunakan AWS Management Console atau. AWS CLI

Untuk menambahkan peran IAM ke instans basis data RDS for Db2

  1. Masuk ke AWS Management Console dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Basis data.

  3. Pilih nama instans basis data RDS for Db2 Anda.

  4. Pada tab Konektivitas dan keamanan, gulir turun ke bagian Kelola peran IAM di bagian bawah halaman.

  5. Untuk Tambahkan peran IAM ke instans ini, pilih peran yang Anda buat di Langkah 2: Buat peran IAM dan lampirkan kebijakan IAM Anda.

  6. Untuk Fitur, pilih S3_INTEGRATION.

  7. Pilih Tambahkan peran.

    Fitur S3_INTEGRATION ditambahkan ke peran IAM untuk instans basis data.

Untuk menambahkan peran IAM ke instans basis data RDS for Db2 Anda, jalankan perintah add-role-to-db-instance. Dalam contoh berikut, gantiregion,db_instance_name, dan iam_role_arn dengan nama Wilayah AWS tempat instans DB Anda ada, nama instans DB Anda, dan ARN dari peran IAM yang Anda buat. Langkah 2: Buat peran IAM dan lampirkan kebijakan IAM Anda

Untuk Linux, macOS, atau Unix:

aws rds add-role-to-db-instance \
    --region $region \
    --db-instance-identifier $db_instance_name \
    --feature-name S3_INTEGRATION \
    --role-arn $iam_role_arn \

Untuk Windows:

aws rds add-role-to-db-instance ^
    --region $region \
    --db-instance-identifier db_instance_name ^
    --feature-name S3_INTEGRATION ^
    --role-arn iam_role_arn ^

Untuk memastikan bahwa peran berhasil ditambahkan ke instans basis data RDS for Db2 Anda, jalankan perintah describe-db-instances. Dalam contoh berikut, ganti db_instance_name dengan nama instans DB Anda.

Untuk Linux, macOS, atau Unix:

aws rds describe-db-instances \
    --filters "Name=db-instance-id,Values=db_instance_name" \
    --query 'DBInstances[].AssociatedRoles'

Untuk Windows:

aws rds describe-db-instances ^
    --filters "Name=db-instance-id,Values=db_instance_name" ^
    --query 'DBInstances[].AssociatedRoles'

Perintah ini menghasilkan output yang serupa dengan contoh berikut:

[
    [
        {
            "RoleArn": "arn:aws:iam::0123456789012:role/rds-db2-s3-role",
            "FeatureName": "S3_INTEGRATION",
            "Status": "ACTIVE"
        }
    ]
]