将服务相关角色用于 Oracle Database@AWS - Oracle Database@AWS
的服务相关角色权限 Oracle Database@AWSOracle Database@AWS 服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于 Oracle Database@AWS

Oracle Database@AWS 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 Oracle Database@AWS服务相关角色由服务预定义 Oracle Database@AWS ,包括该服务代表您呼叫他人 AWS 服务 所需的所有权限。

由于您不必手动添加必要的权限,因此与服务相关的角色可以 Oracle Database@AWS 更轻松地使用。 Oracle Database@AWS 定义其服务相关角色的权限,除非另有定义,否则 Oracle Database@AWS 只能担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。

只有在首先删除角色的相关资源后,才能删除角色。这样可以保护您的 Oracle Database@AWS 资源,因为您不会无意中删除访问资源的权限。

的服务相关角色权限 Oracle Database@AWS

Oracle Database@AWS 使用名为 AWSService RoleFor ODB 的服务相关角色 Oracle Database@AWS 允许代表您的资源 AWS 服务 进行调用。

AWSServiceRoleForODB 服务相关角色信任以下服务来代入该角色:

  • odb.amazonaws.com

  • vpc-lattice.amazonaws.com

此服务相关角色附加了一个名为 AmazonODBServiceRolePolicy 的权限策略,授予其在您的账户中操作的权限。有关更多信息,请参阅 AWS 托管策略:Amazon ODBService RolePolicy

注意

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。如果您遇到以下错误消息:

Unable to create the resource. 确认您有权创建服务相关角色。Otherwise wait and try again later.

确保您已启用以下权限:

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/odb.amazonaws.com/AWSServiceRoleForODB",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"odb.amazonaws.com",
            "iam:AWSServiceName":"vpc-lattice.amazonaws.com"
        }
    }
}

有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为创建服务相关角色 Oracle Database@AWS

您无需手动创建服务关联角色。创建 Exadata 数据库时, Oracle Database@AWS 会为您创建服务相关角色。

如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。创建 Exadata 数据库时, Oracle Database@AWS 会再次为您创建服务相关角色。

编辑的服务相关角色 Oracle Database@AWS

Oracle Database@AWS 不允许您编辑 AWSService RoleFor ODB 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的描述。有关更多信息,请参阅 I A M 用户指南中的编辑服务相关角色

删除的服务相关角色 Oracle Database@AWS

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,必须先删除所有资源,然后才能删除服务相关角色。

正在清理的服务相关角色 Oracle Database@AWS

必须先确认服务相关角色没有活动会话并删除该角色使用的任何资源,然后才能使用 IAM 删除服务相关角色。

在 IAM 控制台中检查服务相关角色是否具有活动会话

  1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择角色。然后选择 AWSService RoleFor ODB 角色的名称(不是复选框)。

  3. 在所选角色的 Summary (摘要) 页面上,选择 Access Advisor (访问顾问) 选项卡。

  4. Access Advisor 选项卡上,查看服务相关角色的近期活动。

注意

如果您不确定 Oracle Database@AWS 是否在使用 AWSService RoleFor ODB 角色,可以尝试删除该角色。如果服务正在使用该角色,则删除将失败,您可以查看该角色的使用 AWS 区域 位置。如果该角色已被使用,则您必须等待会话结束,然后才能删除该角色。您无法撤销服务相关角色对会话的权限。

如果要移除 AWSService RoleFor ODB 角色,则必须先删除所有 Oracle Database@AWS 资源。

Oracle Database@AWS 服务相关角色支持的区域

Oracle Database@AWS 支持在所有提供服务 AWS 区域 的地方使用服务相关角色。有关更多信息,请参阅AWS 区域 和端点