Association d'un rôle IAM à un cluster de bases de données Amazon Aurora MySQL - Amazon Aurora

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Association d'un rôle IAM à un cluster de bases de données Amazon Aurora MySQL

Pour permettre aux utilisateurs de base de données d'un cluster de base de données Amazon Aurora d'accéder à d'autres AWS services, vous associez le rôle IAM que vous avez créé Création d'un rôle IAM pour permettre à Amazon Aurora d'accéder aux services AWS à ce cluster de base de données. Il est également possible qu' AWS crée un nouveau rôle IAM en associant directement le service.

Note

Vous ne pouvez pas associer un rôle IAM à un cluster de base de données Aurora Serverless v1. Pour de plus amples informations, veuillez consulter Utilisation d’Amazon Aurora Serverless v1.

Vous pouvez associer un rôle IAM à un cluster de bases de données Aurora Serverless v2.

Pour associer un rôle IAM à un cluster de base de données, vous devez effectuer les deux opérations suivantes :

  1. Ajoutez le rôle à la liste des rôles associés pour un cluster de base de données à l'aide de la console RDS, de la AWS CLI commande add-role-to-db-cluster ou de l'opération d'API AddRoleToDBClusterRDS.

    Vous pouvez ajouter cinq rôles IAM au maximum pour chaque cluster de base de données Aurora.

  2. Définissez le paramètre au niveau du cluster pour le AWS service associé sur l'ARN du rôle IAM associé.

    Le tableau ci-dessous décrit les noms des paramètres de niveau cluster pour les rôles IAM utilisés pour accéder aux autres services AWS .

    Paramètre de niveau cluster Description

    aws_default_lambda_role

    Utilisé lors de l'appel d'une fonction Lambda à partir de votre cluster de base de données.

    aws_default_logs_role

    Ce paramètre n'est plus requis pour exporter les données de journal de votre cluster de base de données vers Amazon CloudWatch Logs. Aurora MySQL utilise à présent un rôle lié à un service pour les autorisations requises. Pour plus d'informations sur les rôles liés à un service, consultez Utilisation des rôles liés à un service pour Amazon Aurora.

    aws_default_s3_role

    Utilisé lors de l’appel de l’instruction LOAD DATA FROM S3, LOAD XML FROM S3 ou SELECT INTO OUTFILE S3 à partir de votre cluster de bases de données.

    Dans Aurora MySQL version 2, le rôle IAM spécifié dans ce paramètre est utilisé si un rôle IAM n’est pas spécifié pour aurora_load_from_s3_role ou aurora_select_into_s3_role pour l’instruction appropriée.

    Dans Aurora MySQL version 3, le rôle IAM spécifié pour ce paramètre est toujours utilisé.

    aurora_load_from_s3_role

    Utilisé lors de l'appel de l'instruction LOAD DATA FROM S3 ou LOAD XML FROM S3 à partir de votre cluster de bases de données. Si un rôle IAM n'est pas spécifié pour ce paramètre, le rôle IAM spécifié dans aws_default_s3_role est utilisé.

    Dans Aurora MySQL version 3, ce paramètre n'est pas disponible.

    aurora_select_into_s3_role

    Utilisé lors de l'appel de l'instruction SELECT INTO OUTFILE S3 à partir de votre cluster de bases de données. Si un rôle IAM n'est pas spécifié pour ce paramètre, le rôle IAM spécifié dans aws_default_s3_role est utilisé.

    Dans Aurora MySQL version 3, ce paramètre n'est pas disponible.

Pour associer un rôle IAM afin de permettre à votre cluster Amazon RDS de communiquer avec d'autres AWS services en votre nom, procédez comme suit.

Pour associer un rôle IAM à un cluster de base de données Aurora à l'aide de la console

  1. Ouvrez la console RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Choisissez Bases de données.

  3. Choisissez le nom du cluster de base de données Aurora auquel associer un rôle IAM afin d'en afficher les détails.

  4. Dans l'onglet Connectivity & security (Connectivité et sécurité), dans la section Manage IAM roles (Gérer les rôles IAM), effectuez l'une des opérations suivantes :

    • Select IAM roles to add to this cluster (Sélectionnez les rôles IAM à ajouter à ce cluster) (par défaut)

    • Select a service to connect to this cluster (Sélectionner un service à connecter à ce cluster)

    Association d'un rôle IAM à un cluster de bases de données

  5. Pour utiliser un rôle IAM existant, sélectionnez-le dans le menu, puis choisissez Add role (Ajouter un rôle).

    Si l'ajout du rôle est réussi, son statut s'affiche alors comme Pending, puis Available.

  6. Pour connecter directement un service :

    1. Choisissez Select a service to connect to this cluster (Sélectionner un service à connecter à ce cluster).

    2. Choisissez le service dans le menu, puis choisissez Connect service (Connecter un service).

    3. Pour Connect cluster to Service Name, entrez l'Amazon Resource Name (ARN) à utiliser pour vous connecter au service, puis choisissez Connect service.

    AWS crée un nouveau rôle IAM pour la connexion au service. Son statut affiche Pending, puis Available.

  7. (Facultatif) Pour arrêter l'association d'un rôle IAM à un cluster de bases de données et supprimer l'autorisation correspondante, choisissez le rôle, puis Delete (Supprimer).

Définir le paramètre de niveau cluster pour le rôle IAM associé

  1. Dans la console RDS, choisissez Groupes de paramètres dans le panneau de navigation.

  2. Si vous utilisez déjà un groupe de paramètres de base de données personnalisé, vous pouvez sélectionner ce groupe afin de l'utiliser au lieu de créer un groupe de paramètres de cluster de base de données. Si vous utilisez le groupe de paramètres de cluster de base de données par défaut, créez un nouveau groupe de paramètres de cluster de base de données, comme décrit dans les étapes suivantes :

    1. Choisissez Créer un groupe de paramètres.

    2. Pour Famille de groupes de paramètres, choisissez aurora-mysql8.0 pour un cluster de base de données compatible avec Aurora MySQL 8.0 ou aurora-mysql5.7 pour un cluster de base de données compatible avec Aurora MySQL 5.7.

    3. Pour Type, choisissez Groupe de paramètres de cluster DB.

    4. Pour Nom du groupe, entrez le nom de votre nouveau groupe de paramètres de cluster de bases de données.

    5. Dans le champ Description, saisissez une description du nouveau groupe de paramètres de cluster de bases de données.

      Création d'un groupe de paramètres de cluster de bases de données

    6. Sélectionnez Créer.

  3. Sur la page Groupes de paramètres, sélectionnez votre groupe de paramètres de cluster de bases de données, puis choisissez Modifier pour Parameter group actions (Actions de groupe de paramètres).

  4. Affectez aux paramètres appropriés de niveau cluster les valeurs d'ARN des rôles IAM associés.

    Par exemple, vous pouvez affecter au paramètre aws_default_s3_role la valeur arn:aws:iam::123456789012:role/AllowS3Access.

  5. Sélectionnez Save Changes.

  6. Pour modifier le groupe de paramètres de cluster DB pour votre cluster DB, effectuez les étapes suivantes :

    1. Choisissez Databases (Bases de données), puis sélectionnez votre cluster DB Aurora.

    2. Sélectionnez Modify.

    3. Faites défiler l'écran jusqu'à Options de base de données et définissez Groupe de paramètres de cluster DB en spécifiant le groupe de paramètres de cluster DB.

    4. Choisissez Continuer.

    5. Vérifiez vos modifications, puis sélectionnez Appliquer immédiatement.

    6. Choisissez Modifier le cluster.

    7. Choisissez Databases (Bases de données), puis sélectionnez l'instance principale de votre cluster DB.

    8. Pour Actions, choisissez Redémarrer.

      Une fois que l'instance a redémarré, votre rôle IAM est associé à votre cluster de base de données.

      Pour plus d'informations sur les groupes de paramètres de cluster, consultez Paramètres de configuration d’Aurora MySQL.

Pour associer un rôle IAM à un cluster de bases de données à l'aide du AWS CLI

  1. Appelez la add-role-to-db-cluster commande depuis le AWS CLI pour ajouter le ARNs pour vos rôles IAM au cluster de base de données, comme indiqué ci-dessous. 

    PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole

  2. Si vous utilisez le groupe de paramètres de cluster de base de données par défaut, créez un nouveau groupe de paramètres de cluster de base de données. Si vous utilisez déjà un groupe de paramètres de base de données personnalisé, vous pouvez utiliser ce groupe au lieu de créer un groupe de paramètres de cluster de base de données.

    Pour créer un nouveau groupe de paramètres de cluster de base de données, appelez la create-db-cluster-parameter-group commande depuis le AWS CLI, comme indiqué ci-dessous.

    PROMPT> aws rds create-db-cluster-parameter-group  --db-cluster-parameter-group-name AllowAWSAccess \
     --db-parameter-group-family aurora5.7 --description "Allow access to Amazon S3 and AWS Lambda"

    Pour un cluster de bases de données compatible avec Aurora MySQL 5.7, spécifiez aurora-mysql5.7 pour --db-parameter-group-family. Pour un cluster de bases de données compatible avec Aurora MySQL 8.0, spécifiez aurora-mysql8.0 pour --db-parameter-group-family.

  3. Définissez les paramètres appropriés de niveau cluster et les valeurs d'ARN des rôles IAM associés dans votre groupe de paramètres de cluster de base de données, comme illustré ci-après. 

    PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
    --parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \
    --parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"

  4. Modifiez le cluster de base de données afin d'utiliser le nouveau groupe de paramètres de cluster de base de données, puis redémarrez le cluster, comme illustré ci-après.

    PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess
PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary

    Une fois que l'instance a redémarré, vos rôles IAM sont associés à votre cluster de base de données.

    Pour plus d'informations sur les groupes de paramètres de cluster, consultez Paramètres de configuration d’Aurora MySQL.