Zuweisen einer IAM-Rolle zu einem Amazon-Aurora-MySQL-DB-Cluster - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zuweisen einer IAM-Rolle zu einem Amazon-Aurora-MySQL-DB-Cluster

Um Datenbankbenutzern in einem Amazon Aurora Aurora-DB-Cluster den Zugriff auf andere AWS Services zu ermöglichen, ordnen Sie die IAM-Rolle, in Eine IAM-Rolle erstellen, um Amazon Aurora den Zugriff auf AWS Services zu ermöglichen der Sie erstellt haben, diesem DB-Cluster zu. Sie können auch eine neue IAM-Rolle durch AWS erstellen lassen, indem Sie den Service direkt zuordnen.

Anmerkung

Sie können keine IAM-Rolle mit einem Aurora Serverless v1-DB-Cluster verknüpfen. Weitere Informationen finden Sie unter Verwenden von Amazon Aurora Serverless v1.

Sie können eine IAM-Rolle mit einem DB-Cluster von Aurora Serverless v2verknüpfen.

Sie müssen zwei Dinge tun, um eine IAM-Rolle mit einem DB-Cluster zu verbinden:

  1. Fügen Sie die Rolle mithilfe der RDS-Konsole, des AWS CLI Befehls add-role-to-db-cluster oder der AddRoleToDBClusterRDS-API-Operation zur Liste der zugehörigen Rollen für einen DB-Cluster hinzu.

    Sie können maximal fünf IAM-Rollen für jeden Aurora-DB-Cluster hinzufügen.

  2. Setzen Sie den Parameter auf Clusterebene für den zugehörigen AWS Dienst auf den ARN für die zugehörige IAM-Rolle.

    Die folgende Tabelle beschreibt die Cluster-Level-Parameter-Namen für die IAM-Rollen, die für den Zugriff auf andere AWS -Services verwendet werden.

    Parameter auf Clusterebene Beschreibung

    aws_default_lambda_role

    Wird beim Aufrufen einer Lambda-Funktion aus dem DB-Cluster verwendet.

    aws_default_logs_role

    Dieser Parameter ist für den Export von Protokolldaten aus Ihrem DB-Cluster nach Amazon CloudWatch Logs nicht mehr erforderlich. Aurora MySQL verwendet jetzt eine serviceverknüpfte Rolle für die erforderlichen Berechtigungen. Weitere Informationen zu Service-verknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon Aurora.

    aws_default_s3_role

    Wird beim Aufrufen der Anweisung LOAD DATA FROM S3, LOAD XML FROM S3 oder SELECT INTO OUTFILE S3 aus Ihrem DB-Cluster verwendet.

    Bei Aurora MySQL Version 2 wird die in diesem Parameter festgelegte IAM-Rolle verwendet, wenn keine IAM-Rolle für aurora_load_from_s3_role oder aurora_select_into_s3_role für die entsprechende Anweisung festgelegt ist.

    Bei Aurora-MySQL-Version 3 wird die für diesen Parameter festgelegte IAM-Rolle immer verwendet.

    aurora_load_from_s3_role

    Wird beim Aufrufen der Anweisung LOAD DATA FROM S3 oder LOAD XML FROM S3 aus Ihrem DB-Cluster verwendet. Wenn keine IAM-Rolle für diesen Parameter festgelegt ist, wird die in aws_default_s3_role festgelegte IAM-Rolle verwendet.

    Bei Aurora MySQL Version 3 ist dieser Parameter nicht verfügbar.

    aurora_select_into_s3_role

    Wird beim Aufrufen der Anweisung SELECT INTO OUTFILE S3 aus Ihrem DB-Cluster verwendet. Wenn keine IAM-Rolle für diesen Parameter festgelegt ist, wird die in aws_default_s3_role festgelegte IAM-Rolle verwendet.

    Bei Aurora MySQL Version 3 ist dieser Parameter nicht verfügbar.

Gehen Sie wie folgt vor, um Ihrem Amazon RDS-Cluster die Kommunikation mit anderen AWS Services in Ihrem Namen zu ermöglichen, eine IAM-Rolle zuzuweisen.

Sie müssen zwei Dinge tun, um eine IAM-Rolle einem Aurora-DB-Cluster mithilfe der Konsole zuzuweisen:

  1. Öffnen Sie die RDS-Konsole in https://console.aws.amazon.com/rds/:

  2. Wählen Sie Datenbanken aus.

  3. Wählen Sie den Namen des Aurora-DB-Clusters, den Sie einer IAM-Rolle zuweisen möchten, aus, um die entsprechenden Details anzuzeigen.

  4. Führen Sie auf der Registerkarte Konnektivität und Sicherheit im Abschnitt IAM-Rollen verwalten eine der folgenden Aktionen aus:

    • IAM-Rollen auswählen, die diesem Cluster hinzugefügt werden sollen (Standard)

    • Einen Service zum Herstellen einer Verbindung mit diesem Cluster auswählen

    Zuweisen einer IAM-Rolle zu einem DB-Cluster

  5. Wenn Sie eine vorhandene IAM-Rolle verwenden möchten, wählen Sie diese aus dem Menü aus und klicken Sie dann auf Add role (Rolle hinzufügen).

    Wenn die Rolle erfolgreich hinzugefügt wurde, wird ihr Status als Pending und dann als Available angezeigt.

  6. So verbinden Sie einen Service direkt:

    1. Wählen Sie Select a service to connect to this cluster (Einen Service zum Herstellen einer Verbindung mit diesem Cluster auswählen) aus.

    2. Wählen Sie den Service aus dem Menü aus und klicken Sie dann auf Connect service (Service verbinden).

    3. Geben Sie für Connect cluster to den Amazon-Ressourcennamen (ARN) einService Name, der für die Verbindung mit dem Service verwendet werden soll, und wählen Sie dann Connect service aus.

    AWS erstellt eine neue IAM-Rolle für die Verbindung mit dem Service. Der Status wird als Pending und dann als Available angezeigt.

  7. (Optional) Wenn Sie die Zuordnung einer IAM-Rolle mit einem DB-Cluster aufheben und die zugehörige Berechtigung entziehen möchten, wählen Sie die Rolle und dann Delete (Löschen) aus.

So legen Sie den Cluster-Level-Parameter für die zugeordnete Rolle fest

  1. Wählen Sie in der RDS-Konsole Parametergruppen im Navigationsbereich aus.

  2. Wenn Sie bereits eine benutzerdefinierte DB-Parametergruppe verwenden, können Sie diese Gruppe auswählen, statt eine neue DB-Cluster-Parametergruppe zu erstellen. Wenn Sie die Standard-DB-Cluster-Parametergruppe verwenden, erstellen Sie eine neue DB-Cluster-Parametergruppe, wie in den folgenden Schritten beschrieben ist:

    1. Wählen Sie Parametergruppe erstellen.

    2. Wählen Sie für Parametergruppenfamilie für einen mit Aurora MySQL 5.6 kompatiblen DB-Cluster aurora-mysql8.0, oder aurora-mysql5.7 für einen mit Aurora MySQL 5.7 kompatiblen DB-Cluster.

    3. Wählen Sie für Typ die Option DB-Cluster-Parametergruppe.

    4. Geben Sie für Gruppenname den Namen Ihrer neuen DB-Cluster-Parametergruppe ein.

    5. Geben Sie unter Beschreibung die Beschreibung für Ihre neue DB-Cluster-Parametergruppe ein.

      Erstellen einer DB-Cluster-Parametergruppe

    6. Wählen Sie Create aus.

  3. Wählen Sie auf der Seite Parameter Groups (Parametergruppen) Ihre DB-Cluster-Parametergruppe und danach die Option Edit (Bearbeiten) unter Parameter group actions (Parametergruppenaktionen) aus.

  4. Legen Sie die entsprechenden Cluster-Level-Parameter für die zugehörigen ARN-Werte der IAM-Rolle fest.

    Sie können beispielsweise den Parameter aws_default_s3_role auf arn:aws:iam::123456789012:role/AllowS3Access einstellen.

  5. Wählen Sie Änderungen speichern.

  6. Um die DB-Cluster-Parametergruppe für Ihren DB-Cluster zu ändern, führen Sie die folgenden Schritte aus:

    1. Wählen Sie Datenbanken aus und wählen Sie dann Ihren Aurora DB-Cluster aus.

    2. Wählen Sie Ändern aus.

    3. Blättern Sie zu Datenbankoptionen und legen Sie DB-Cluster-Parametergruppe auf die DB-Cluster-Parametergruppe fest.

    4. Klicken Sie auf Weiter.

    5. Überprüfen Sie Ihre Änderungen, und klicken Sie anschließend auf Sofort anwenden.

    6. Wählen Sie Modify Cluster (Cluster ändern) aus.

    7. Wählen Sie Databases (Datenbanken) und anschließend die primäre Instance für Ihren DB-Cluster aus.

    8. Wählen Sie unter Aktionen die Option Neustart aus.

      Wenn die Instance neu gestartet wurde, wird Ihre IAM-Rolle Ihrem DB-Cluster zugewiesen.

      Weitere Informationen zu Cluster-Parametergruppen finden Sie unter Aurora MySQL Konfigurationsparameter.

Um eine IAM-Rolle einem DB-Cluster zuzuordnen, verwenden Sie AWS CLI

  1. Rufen Sie den add-role-to-db-cluster Befehl von AWS CLI auf, um die ARNs für Ihre IAM-Rollen zum DB-Cluster hinzuzufügen, wie im Folgenden gezeigt. 

    PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole

  2. Wenn Sie die Standard-DB-Cluster-Parametergruppe verwenden, erstellen Sie eine neue DB-Cluster-Parametergruppe. Wenn Sie bereits eine benutzerdefinierte DB-Parametergruppe verwenden, können Sie diese Gruppe verwenden, anstatt eine neue DB-Cluster-Parametergruppe zu erstellen.

    Um eine neue DB-Cluster-Parametergruppe zu erstellen, rufen Sie den create-db-cluster-parameter-group Befehl von aus auf AWS CLI, wie im Folgenden gezeigt.

    PROMPT> aws rds create-db-cluster-parameter-group  --db-cluster-parameter-group-name AllowAWSAccess \
     --db-parameter-group-family aurora5.7 --description "Allow access to Amazon S3 and AWS Lambda"

    Für einen mit Aurora MySQL 5.7 kompatiblen DB-Cluster geben Sie aurora-mysql5.7 für --db-parameter-group-family an. Für einen mit Aurora MySQL 8.0 kompatiblen DB-Cluster geben Sie aurora-mysql8.0 für --db-parameter-group-family an.

  3. Stellen Sie den/die entsprechenden Cluster-Level-Parameter und die zugehörigen ARN-Werte der IAM-Rolle in Ihrer DB-Cluster-Parametergruppe ein, wie im Folgenden gezeigt. 

    PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
    --parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \
    --parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"

  4. Ändern Sie das DB-Cluster, um die neue DB-Clusterparametergruppe zu verwenden und starten Sie das Cluster anschließend neu, wie im Folgenden gezeigt.

    PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess
PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary

    Wenn die Instance neu gestartet ist, sind Ihre IAM-Rollen Ihrem DB-Cluster zugewiesen.

    Weitere Informationen zu Cluster-Parametergruppen finden Sie unter Aurora MySQL Konfigurationsparameter.