为 RDS for Oracle 与 Amazon EFS 集成配置网络权限
要让 RDS for Oracle 与 Amazon EFS 集成,请确保您的数据库实例具有网络访问权限,可访问 EFS 文件系统。有关更多信息,请参阅《Amazon Elastic File System 用户指南》中的 控制 NFS 客户端对 Amazon EFS 文件系统的网络访问权限。
使用安全组控制网络访问权限
您可以使用 VPC 安全组等网络层安全机制控制数据库实例对 EFS 文件系统的访问权限。要允许访问数据库实例的 EFS 文件系统,请确保您的 EFS 文件系统满足以下要求:
-
EFS 挂载目标存在于 RDS for Oracle 数据库实例使用的每个可用区中。
EFS 挂载目标提供您可以在其中挂载 EFS 文件系统的 NFSv4 端点的 IP 地址。您使用其 DNS 名称挂载文件系统,该名称将解析为数据库实例的可用区使用的 EFS 挂载目标的 IP 地址。
您可以将不同可用区中的数据库实例配置为使用相同的 EFS 文件系统。对于多可用区,部署中的每个可用区都需要一个挂载点。您可能需要将数据库实例移到其他可用区。出于这些原因,我们建议您在 VPC 的每个可用区中创建一个 EFS 挂载点。默认情况下,当您使用控制台创建新的 EFS 文件系统时,RDS 会为所有可用区创建挂载目标。
-
安全组已连接到挂载目标。
-
安全组有一条入站规则,允许在 TCP/2049(类型 NFS)上使用 RDS for Oracle 数据库实例的网络子网或安全组。
有关更多信息,请参阅《Amazon Elastic File System 用户指南》中的创建 Amazon EFS 文件系统和创建和管理 EFS 挂载目标和安全组。
使用文件系统策略控制网络访问权限
Amazon EFS 与 RDS for Oracle 的集成使用默认(空)EFS 文件系统策略。默认策略不使用 IAM 进行身份验证。相反,它向可以使用挂载目标连接到文件系统的任何匿名客户端授予完全访问权限。当用户配置的文件系统策略不生效时(包括在创建文件系统时),默认策略将生效。有关更多信息,请参阅《Amazon Elastic File System 用户指南》中的默认 EFS 文件系统策略。
要增强所有客户端(包括 RDS for Oracle)的 EFS 文件系统的访问权限,您可以配置 IAM 权限。使用这种方法,您可以创建文件系统策略。有关更多信息,请参阅《Amazon Elastic File System 用户指南》中的创建文件系统策略。