Mengonfigurasi izin IAM untuk integrasi RDS for Oracle dengan Amazon EFS - Layanan Basis Data Relasional Amazon
Langkah 1: Buat peran IAM untuk instans DB Anda dan lampirkan kebijakan AndaLangkah 2: Buat kebijakan sistem file untuk Amazon EFS AndaLangkah 3: Kaitkan peran IAM Anda dengan instans DB RDS for Oracle

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi izin IAM untuk integrasi RDS for Oracle dengan Amazon EFS

Secara default, fitur integrasi Amazon EFS tidak menggunakan peran IAM: pengaturan USE_IAM_ROLE opsi adalahFALSE. Untuk mengintegrasikan RDS untuk Oracle dengan Amazon EFS dan peran IAM, instans DB Anda harus memiliki izin IAM untuk mengakses sistem file Amazon EFS.

Langkah 1: Buat peran IAM untuk instans DB Anda dan lampirkan kebijakan Anda

Pada langkah ini, buat peran untuk instans DB RDS for Oracle agar Amazon RDS dapat mengakses sistem file EFS Anda.

Untuk membuat peran IAM agar Amazon RDS dapat mengakses sistem file EFS

  1. Buka Konsol Manajemen IAM.

  2. Di panel navigasi, pilih Peran.

  3. Pilih Buat peran.

  4. Untuk Layanan AWS , pilih RDS.

  5. Untuk Pilih kasus penggunaan, pilih RDS – Tambahkan Peran ke Basis Data.

  6. Pilih Berikutnya.

  7. Jangan tambahkan kebijakan izin apa pun. Pilih Berikutnya.

  8. Tentukan Nama peran untuk nama peran IAM, misalnya rds-efs-integration-role. Anda juga dapat menambahkan nilai Deskripsi opsional.

  9. Pilih Buat peran.

Untuk membatasi izin layanan ke sumber daya tertentu, sebaiknya gunakan kunci konteks kondisi global aws:SourceArn dan aws:SourceAccount dalam hubungan kepercayaan berbasis sumber daya. Ini adalah perlindungan paling efektif dari masalah confused deputy.

Anda dapat menggunakan kedua kunci konteks kondisi global tersebut dan nilai aws:SourceArn berisi ID akun. Dalam hal ini, nilai aws:SourceAccount dan akun dalam nilai aws:SourceArn harus menggunakan ID akun yang sama saat digunakan dalam pernyataan yang sama.

  • Gunakan aws:SourceArn jika Anda menginginkan akses lintas layanan untuk satu sumber daya.

  • Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.

Dalam hubungan kepercayaan, pastikan untuk menggunakan kunci konteks kondisi global aws:SourceArn dengan Amazon Resource Name (ARN) penuh pada sumber daya yang mengakses peran.

AWS CLI Perintah berikut menciptakan peran yang dinamai rds-efs-integration-role untuk tujuan ini.

contoh

Untuk Linux, macOS, atau Unix:

aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Untuk Windows:

aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke pengguna IAM dalam Panduan Pengguna IAM.

Langkah 2: Buat kebijakan sistem file untuk Amazon EFS Anda

Pada langkah ini, buat kebijakan sistem file untuk EFS Anda.

Untuk membuat atau mengedit kebijakan sistem file EFS

  1. Buka Konsol Manajemen EFS.

  2. Pilih Sistem File.

  3. Pada halaman Sistem file, pilih sistem file yang akan diedit atau dibuatkan kebijakan sistem file. Halaman detail sistem file akan terbuka.

  4. Pilih tab Kebijakan sistem file.

    Jika kebijakan kosong, kebijakan sistem file EFS default sedang digunakan. Untuk informasi selengkapnya, lihat Kebijakan sistem file EFS default dalam Panduan Pengguna Amazon Elastic File System.

  5. Pilih Edit. Halaman Kebijakan sistem file muncul.

  6. Di Editor kebijakan, masukkan kebijakan seperti berikut ini, lalu pilih Simpan.

    JSON
    {
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/rds-efs-integration-role"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-1234567890abcdef0"
        }
    ]
}

Langkah 3: Kaitkan peran IAM Anda dengan instans DB RDS for Oracle

Pada langkah ini, kaitkan peran IAM Anda dengan instans DB Anda. Perhatikan persyaratan berikut:

  • Anda harus memiliki akses ke peran IAM dengan kebijakan izin Amazon EFS yang diperlukan.

  • Anda hanya dapat mengaitkan satu peran IAM dengan instans DB RDS for Oracle Anda dalam satu waktu.

  • Status instans Anda harus Tersedia.

Untuk informasi selengkapnya, lihat Manajemen identitas dan akses Amazon EFS dalam Panduan Pengguna Amazon Elastic File System.

Untuk mengaitkan peran IAM Anda dengan instans DB RDS for Oracle

  1. Masuk ke AWS Management Console dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.

  2. Pilih Basis data.

  3. Jika instans basis data Anda tidak tersedia, pilih Tindakan lalu Mulai. Saat instans berstatus Dimulai, lanjutkan ke langkah berikutnya.

  4. Pilih nama instans DB Oracle untuk menampilkan detailnya.

  5. Pada tab Konektivitas & keamanan, gulir ke Kelola peran IAM di bagian bawah halaman.

  6. Pilih peran yang akan ditambahkan di bagian Tambahkan peran IAM ke instans ini.

  7. Untuk Fitur, pilih EFS_INTEGRATION.

  8. Pilih Tambahkan peran.

AWS CLI Perintah berikut menambahkan peran ke instance Oracle DB bernamamydbinstance.

contoh

Untuk Linux, macOS, atau Unix:

aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn

Untuk Windows:

aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn

Ganti your-role-arn dengan peran ARN yang Anda catat di langkah sebelumnya. EFS_INTEGRATION harus ditentukan untuk opsi --feature-name.