Configurazione delle autorizzazioni IAM per l'integrazione RDS per Oracle con Amazon EFS - Amazon Relational Database Service
Fase 1: creazione di un ruolo IAM per l'istanza database e collegamento della policyFase 2: creazione di una policy per il file system Amazon EFSFase 3: associazione del ruolo IAM all'istanza database RDS per Oracle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle autorizzazioni IAM per l'integrazione RDS per Oracle con Amazon EFS

Per impostazione predefinita, la funzionalità di integrazione di Amazon EFS non utilizza un ruolo IAM: l'impostazione dell'USE_IAM_ROLEopzione èFALSE. Per integrare RDS for Oracle con Amazon EFS e un ruolo IAM, l'istanza DB deve disporre delle autorizzazioni IAM per accedere a un file system Amazon EFS.

Fase 1: creazione di un ruolo IAM per l'istanza database e collegamento della policy

In questa fase, viene creato un ruolo per l'istanza database RDS per Oracle per consentire ad Amazon RDS di accedere al file system EFS.

Per creare un ruolo IAM per consentire ad Amazon RDS di accedere a un file system EFS

  1. Aprire la console di gestione IAM.

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

  4. In AWS Service scegliere RDS.

  5. Per Select your use case (Seleziona caso di utilizzo), selezionare RDS – Add Role to Database (RDS – Aggiungi ruolo al database).

  6. Scegli Next (Successivo).

  7. Non aggiungere alcuna policy di autorizzazione. Scegli Next (Successivo).

  8. Impostare Role Name (Nome ruolo) su un nome per il ruolo IAM, ad esempio rds-efs-integration-role. È anche possibile aggiungere un valore Description (Descrizione) facoltativo.

  9. Scegliere Crea ruolo.

Per limitare le autorizzazioni del servizio a una risorsa specifica, si consiglia di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount nelle relazioni di trust basate sulle risorse. Questo è il modo più efficace per proteggersi dal problema di deputy confused.

Puoi usare le chiavi di contesto delle condizioni globali e avere il valore aws:SourceArn che contiene l'ID dell'account. In questo caso, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account quando viene utilizzato nella stessa istruzione.

  • Utilizzare aws:SourceArn se si desidera un accesso cross-service per una singola risorsa.

  • Utilizzare aws:SourceAccount se si desidera consentire l'associazione di qualsiasi risorsa in tale account all'uso cross-service.

Nella relazione di trust, assicurati di utilizzare la chiave di contesto della condizione globale aws:SourceArn con l'Amazon Resource Name (ARN) completo delle risorse che accedono al ruolo.

Il AWS CLI comando seguente crea il ruolo denominato a questo rds-efs-integration-role scopo.

Esempio

Per LinuxmacOS, oUnix:

aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Per Windows:

aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'

Per ulteriori informazioni, consulta la pagina relativa alla creazione di un ruolo per delegare le autorizzazioni a un utente IAM nella Guida per l'utente IAM.

Fase 2: creazione di una policy per il file system Amazon EFS

In questa fase viene creata una policy per il file system EFS.

Per creare o modificare una policy di file system EFS

  1. Apri la console di gestione EFS.

  2. Selezionare File Systems (File system).

  3. Nella pagina File systems (File system), scegli il file system per cui vuoi creare una policy di file system. Viene visualizzata la pagina dei dettagli per il file system scelto.

  4. Scegli la scheda File system policy (Policy di file system).

    Se è vuota, viene utilizzata la policy di file system EFS predefinita. Per ulteriori informazioni, consulta Policy EFS predefinita per il file system EFS nella Guida per l'utente di Amazon Elastic File System.

  5. Scegli Modifica. Viene visualizzata la pagina Policy del file system.

  6. Nell'editor di policy, immetti una policy come la seguente, quindi scegli Save (Salva).

    JSON
    {
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/rds-efs-integration-role"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-1234567890abcdef0"
        }
    ]
}

Fase 3: associazione del ruolo IAM all'istanza database RDS per Oracle

In questa fase il ruolo IAM viene associato all'istanza database. Tieni presenti i seguenti requisiti:

  • Devi disporre dell'accesso a un ruolo IAM a cui è collegata la policy di autorizzazione richiesta di Amazon EFS.

  • È possibile associare un solo ruolo IAM alla volta all'istanza database RDS per Oracle.

  • Lo stato dell'istanza deve essere Available (Disponibile).

Per ulteriori informazioni, consulta Identity and access management for Amazon EFS (Identity and Access Management per Amazon EFS) nella Guida per l'utente di Amazon Elastic File System.

Per associare il ruolo IAM all'istanza database RDS per Oracle

  1. Accedi a AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

  2. Scegli Database.

  3. Se l'istanza del database non è disponibile, scegli Operazioni , quindi Avvia. Quando lo stato dell'istanza mostra Avviato, vai al passaggio successivo.

  4. Scegliere il nome dell'istanza database Oracle per visualizzarne i dettagli.

  5. Sulla scheda Connettività e sicurezza, scorri verso il basso fino alla sezione Gestisci i ruoli IAM in fondo alla pagina.

  6. Scegli il ruolo da aggiungere nella sezione Aggiungi ruoli IAM a questa istanza.

  7. Per Feature (Caratteristica) scegli EFS_INTEGRATION.

  8. Scegliere Add role (Aggiungi ruolo).

Il AWS CLI comando seguente aggiunge il ruolo a un'istanza Oracle DB denominatamydbinstance.

Esempio

Per LinuxmacOS, oUnix:

aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn

Per Windows:

aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn

Sostituire your-role-arn con il ruolo ARN annotato nel passaggio precedente. EFS_INTEGRATION deve essere specificato per l'opzione --feature-name.