将 IAM 角色与 Amazon Aurora MySQL 数据库集群关联
要允许 Amazon Aurora 数据库集群中的数据库用户访问其他 AWS 服务,您可以将在创建 IAM 角色以允许 Amazon Aurora 访问 AWS 服务中创建的角色与该数据库集群关联。
要将 IAM 角色与数据库集群关联,您可以执行两个操作:
-
通过使用 RDS 控制台、add-role-to-db-cluster AWS CLI 命令或 AddRoleToDBCluster RDS API 操作,将角色添加到数据库集群的关联角色列表中。
每个 Aurora 数据库集群最多可以添加 5 个 IAM 角色。
-
将相关的 AWS 服务的集群级参数设置为关联的 IAM 角色的 ARN。
下表介绍了用于访问其他 AWS 服务的 IAM 角色的集群级参数名称。
集群级参数 描述 aws_default_lambda_role在从您的数据库集群调用 Lambda 函数时使用。
aws_default_logs_role在将日志数据从数据库集群导出到 Amazon CloudWatch Logs 时,不再需要使用该参数。Aurora MySQL 现在使用一个服务相关角色以提供所需的权限。有关服务相关角色的更多信息,请参阅对 Amazon RDS 使用服务相关角色。
aws_default_s3_role从数据库集群调用
LOAD DATA FROM S3、LOAD XML FROM S3或SELECT INTO OUTFILE S3语句时使用。只有在没有为相应语句的
aurora_load_from_s3_role或aurora_select_into_s3_role指定 IAM 角色时,才会使用在该参数中指定的 IAM 角色。对于 Aurora 的早期版本,始终使用为该参数指定的 IAM 角色。
aurora_load_from_s3_role从数据库集群中调用
LOAD DATA FROM S3或LOAD XML FROM S3语句时使用。如果没有为该参数指定 IAM 角色,则使用在aws_default_s3_role中指定的 IAM 角色。对于 Aurora 的早期版本,该参数不可用。
aurora_select_into_s3_role从数据库集群中调用
SELECT INTO OUTFILE S3语句时使用。如果没有为该参数指定 IAM 角色,则使用在aws_default_s3_role中指定的 IAM 角色。对于 Aurora 的早期版本,该参数不可用。
要关联 IAM 角色以允许您的 Amazon RDS 集群代表您与其他 AWS 服务通信,请执行以下步骤。
使用控制台将 IAM 角色与 Aurora 数据库集群关联
-
打开 https://console.amazonaws.cn/rds/ 中的 RDS 控制台。
-
选择数据库。
-
选择要与 IAM 角色关联以显示其详细信息的 Aurora 数据库集群的名称。
-
在 Connectivity & security (连接性和安全性) 选项卡上的 Manage IAM roles (管理 IAM 角色) 部分中,在 Add IAM roles to this cluster (向此集群添加 IAM 角色) 下选择要添加的角色。
-
选择添加角色。
-
(可选)要停止将 IAM 角色与数据库集群关联并删除相关的权限,请选择该角色并选择 Delete (删除)。
-
在 RDS 控制台中,选择导航窗格中的参数组。
-
如果您已在使用自定义数据库参数组,您可以选择使用该组而不是创建新的数据库集群参数组。如果您正在使用默认数据库集群参数组,请创建一个新的数据库集群参数组,如下列步骤中所述:
-
选择 Create Parameter Group。
-
对于参数组系列,请为 Aurora MySQL 5.6 兼容数据库集群选择
aurora5.6,或者为 Aurora MySQL 5.7 兼容数据库集群选择aurora-mysql5.7。 -
对于类型,请选择数据库集群参数组。
-
对于组名,键入您的新数据库集群参数组的名称。
-
对于 Description,键入您的新数据库集群参数组的描述。
-
选择 Create。
-
-
在 Parameter groups (参数组) 页面上,选择您的数据库集群参数组,并为 Parameter group actions (参数组操作) 选择 Edit (编辑)。
-
选择编辑参数。
-
将适当的集群级参数设置为相关的 IAM 角色 ARN 值。例如,可以只将
aws_default_s3_role参数设置为arn:aws-cn:iam::123456789012:role/AllowAuroraS3Role。 -
选择 Save changes。
-
选择 Databases (数据库),然后为您的 Aurora 数据库集群选择主实例。
-
对于 Actions (操作),选择 Modify (修改)。
-
滚动到 Database options (数据库选项),然后将 DB cluster parameter group (数据库集群参数组) 设置为您已创建的新数据库集群参数组。选择 Continue (继续)。
-
验证您的更改,然后选择立即应用。
-
选择修改数据库实例。
-
数据库集群的主实例在实例列表中仍将处于选定状态。对于操作,选择重启。
在重新启动实例后,您的 IAM 角色将与数据库集群关联。
有关集群参数组的更多信息,请参阅 Aurora MySQL 参数。
使用 AWS CLI 将 IAM 角色与数据库集群关联
-
从 AWS CLI 中调用
add-role-to-db-cluster命令,以将 IAM 角色的 ARN 添加到数据库集群中,如下所示。PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws-cn:iam::123456789012:role/AllowAuroraS3Role PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws-cn:iam::123456789012:role/AllowAuroraLambdaRole -
如果您正在使用默认数据库集群参数组,请创建一个新的数据库集群参数组。如果您已在使用自定义数据库参数组,您可以使用该组而不是创建新的数据库集群参数组。
要创建新的数据库集群参数组,请从 AWS CLI 中调用
create-db-cluster-parameter-group命令,如下所示。PROMPT> aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \ --db-parameter-group-family aurora5.6 --description "Allow access to Amazon S3 and AWS Lambda"对于 Aurora MySQL 5.7 兼容数据库集群,请为
--db-parameter-group-family指定aurora-mysql5.7。 -
在数据库集群参数组中设置相应的集群级参数以及相关的 IAM 角色 ARN 值,如下所示。
PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \ --parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws-cn:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \ --parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws-cn:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot" -
修改数据库集群以使用新的数据库集群参数组,然后重新启动集群,如下所示。
PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary在重新启动实例后,您的 IAM 角色将与数据库集群关联。
有关集群参数组的更多信息,请参阅 Aurora MySQL 参数。