Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengonfigurasi izin IAM untuk integrasi RDS for Oracle dengan Amazon EFS
Secara default, fitur integrasi Amazon EFS tidak menggunakan peran IAM: pengaturan `USE_IAM_ROLE` opsi adalah`FALSE`. Untuk mengintegrasikan RDS untuk Oracle dengan Amazon EFS dan peran IAM, instans DB Anda harus memiliki izin IAM untuk mengakses sistem file Amazon EFS.
**Topics**
+ [Langkah 1: Buat peran IAM untuk instans DB Anda dan lampirkan kebijakan Anda](#oracle-efs-integration.iam.role)
+ [Langkah 2: Buat kebijakan sistem file untuk Amazon EFS Anda](#oracle-efs-integration.iam.policy)
+ [Langkah 3: Kaitkan peran IAM Anda dengan instans DB RDS for Oracle](#oracle-efs-integration.iam.instance)
## Langkah 1: Buat peran IAM untuk instans DB Anda dan lampirkan kebijakan Anda
Pada langkah ini, buat peran untuk instans DB RDS for Oracle agar Amazon RDS dapat mengakses sistem file EFS Anda.
### Konsol
**Untuk membuat peran IAM agar Amazon RDS dapat mengakses sistem file EFS**
1. Buka [Konsol Manajemen IAM](https://console.aws.amazon.com/iam/home?#home).
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **Layanan AWS **, pilih **RDS**.
1. Untuk **Pilih kasus penggunaan**, pilih **RDS – Tambahkan Peran ke Basis Data**.
1. Pilih **Berikutnya**.
1. Jangan tambahkan kebijakan izin apa pun. Pilih **Berikutnya**.
1. Tentukan **Nama peran** untuk nama peran IAM, misalnya `rds-efs-integration-role`. Anda juga dapat menambahkan nilai **Deskripsi** opsional.
1. Pilih **Buat peran**.
### AWS CLI
Untuk membatasi izin layanan ke sumber daya tertentu, sebaiknya gunakan kunci konteks kondisi global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) dan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) dalam hubungan kepercayaan berbasis sumber daya. Ini adalah perlindungan paling efektif dari [masalah confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Anda dapat menggunakan kedua kunci konteks kondisi global tersebut dan nilai `aws:SourceArn` berisi ID akun. Dalam hal ini, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan yang sama.
+ Gunakan `aws:SourceArn` jika Anda menginginkan akses lintas layanan untuk satu sumber daya.
+ Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Dalam hubungan kepercayaan, pastikan untuk menggunakan kunci konteks kondisi global `aws:SourceArn` dengan Amazon Resource Name (ARN) penuh pada sumber daya yang mengakses peran.
AWS CLI Perintah berikut menciptakan peran yang dinamai `{{rds-efs-integration-role}}` untuk tujuan ini.
**Example**
Untuk Linux, macOS, atau Unix:
```
aws iam create-role \
--role-name {{rds-efs-integration-role}} \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": {{my_account_ID}},
"aws:SourceArn": "arn:aws:rds:{{Region}}:{{my_account_ID}}:db:{{dbname}}"
}
}
}
]
}'
```
Untuk Windows:
```
aws iam create-role ^
--role-name {{rds-efs-integration-role}} ^
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": {{my_account_ID}},
"aws:SourceArn": "arn:aws:rds:{{Region}}:{{my_account_ID}}:db:{{dbname}}"
}
}
}
]
}'
```
Untuk informasi selengkapnya, lihat [Membuat peran untuk mendelegasikan izin ke pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
## Langkah 2: Buat kebijakan sistem file untuk Amazon EFS Anda
Pada langkah ini, buat kebijakan sistem file untuk EFS Anda.
**Untuk membuat atau mengedit kebijakan sistem file EFS**
1. Buka [Konsol Manajemen EFS](https://console.aws.amazon.com/efs/home?#home).
1. Pilih **Sistem File**.
1. Pada halaman **Sistem file**, pilih sistem file yang akan diedit atau dibuatkan kebijakan sistem file. Halaman detail sistem file akan terbuka.
1. Pilih tab **Kebijakan sistem file**.
Jika kebijakan kosong, kebijakan sistem file EFS default sedang digunakan. Untuk informasi selengkapnya, lihat [Kebijakan sistem file EFS default](https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html#default-filesystempolicy ) dalam *Panduan Pengguna Amazon Elastic File System*.
1. Pilih **Edit**. Halaman **Kebijakan sistem file** muncul.
1. Di **Editor kebijakan**, masukkan kebijakan seperti berikut ini, lalu pilih **Simpan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ExamplePolicy01",
"Statement": [
{
"Sid": "ExampleStatement01",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{123456789012}}:role/rds-efs-integration-role"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:{{us-east-1}}:{{123456789012}}:file-system/{{fs-1234567890abcdef0}}"
}
]
}
```
------
## Langkah 3: Kaitkan peran IAM Anda dengan instans DB RDS for Oracle
Pada langkah ini, kaitkan peran IAM Anda dengan instans DB Anda. Perhatikan persyaratan berikut:
+ Anda harus memiliki akses ke peran IAM dengan kebijakan izin Amazon EFS yang diperlukan.
+ Anda hanya dapat mengaitkan satu peran IAM dengan instans DB RDS for Oracle Anda dalam satu waktu.
+ Status instans Anda harus **Tersedia**.
Untuk informasi selengkapnya, lihat [Manajemen identitas dan akses Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/auth-and-access-control.html) dalam *Panduan Pengguna Amazon Elastic File System*.
### Konsol
**Untuk mengaitkan peran IAM Anda dengan instans DB RDS for Oracle**
1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon RDS di [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Pilih **Basis data**.
1. Jika instans basis data Anda tidak tersedia, pilih **Tindakan** lalu **Mulai**. Saat instans berstatus **Dimulai**, lanjutkan ke langkah berikutnya.
1. Pilih nama instans DB Oracle untuk menampilkan detailnya.
1. Pada tab **Konektivitas & keamanan**, gulir ke **Kelola peran IAM** di bagian bawah halaman.
1. Pilih peran yang akan ditambahkan di bagian **Tambahkan peran IAM ke instans ini**.
1. Untuk **Fitur**, pilih **EFS\_INTEGRATION**.
1. Pilih **Tambahkan peran**.
### AWS CLI
AWS CLI Perintah berikut menambahkan peran ke instance Oracle DB bernama`{{mydbinstance}}`.
**Example**
Untuk Linux, macOS, atau Unix:
```
aws rds add-role-to-db-instance \
--db-instance-identifier {{mydbinstance}} \
--feature-name EFS_INTEGRATION \
--role-arn {{your-role-arn}}
```
Untuk Windows:
```
aws rds add-role-to-db-instance ^
--db-instance-identifier {{mydbinstance}} ^
--feature-name EFS_INTEGRATION ^
--role-arn {{your-role-arn}}
```
Ganti `{{your-role-arn}}` dengan peran ARN yang Anda catat di langkah sebelumnya. `EFS_INTEGRATION` harus ditentukan untuk opsi `--feature-name`.