步骤 1:创建 IAM policy
在此步骤中,您将创建一个 Amazon Identity and Access Management(IAM)策略,该策略具有将文件从您的 Amazon S3 存储桶传输到您的 RDS 数据库实例所需的权限。此步骤假定您已创建了 S3 桶。有关更多信息,请参阅《Amazon S3 用户指南》中的创建存储桶。
创建策略前,请记下以下信息:
-
存储桶的 Amazon 资源名称(ARN)。
-
您的 Amazon Key Management Service(Amazon KMS)密钥的 ARN,如果您的存储桶使用 SSE-KMS 或 SSE-S3 加密。
创建包含以下权限的 IAM policy:
"kms:GenerateDataKey", "kms:Decrypt", "s3:PutObject", "s3:GetObject", "s3:AbortMultipartUpload", "s3:ListBucket", "s3:DeleteObject", "s3:GetObjectVersion", "s3:ListMultipartUploadParts"
您可以使用 Amazon Web Services Management Console或 Amazon Command Line Interface(Amazon CLI)创建 IAM policy。
创建 IAM policy 以允许 Amazon RDS 访问 Amazon S3 桶
登录到 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择策略。
-
选择创建策略,然后选择 JSON。
-
按服务添加操作。要将文件从 Amazon S3 存储桶传输到 Amazon RDS,必须选择存储桶权限和对象权限。
-
展开 Resources(资源)。您必须指定您的存储桶和对象资源。
-
选择下一步。
-
对于策略名称,输入此策略的名称。
-
(可选)对于描述,输入此策略的描述。
-
选择创建策略。
创建 IAM policy 以允许 Amazon RDS 访问 Amazon S3 桶
-
运行 create-policy 命令。在以下示例中,将
iam_policy_name
和s3_bucket_name
替换为 IAM policy 的名称以及 RDS for Db2 数据库所在 Amazon S3 存储桶的名称。对于 Linux、macOS 或 Unix:
aws iam create-policy \ --policy-name
iam_policy_name
\ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt", "s3:PutObject", "s3:GetObject", "s3:AbortMultipartUpload", "s3:ListBucket", "s3:DeleteObject", "s3:GetObjectVersion", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::s3_bucket_name
/*", "arn:aws:s3:::s3_bucket_name
" ] } ] }'对于 Windows:
aws iam create-policy ^ --policy-name
iam_policy_name
^ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:AbortMultipartUpload", "s3:ListBucket", "s3:DeleteObject", "s3:GetObjectVersion", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::s3_bucket_name
/*", "arn:aws:s3:::s3_bucket_name
" ] } ] }' -
创建策略后,请记下策略的 ARN。您需要步骤 2:创建 IAM 角色并附加您的 IAM policy的 ARN。
有关创建 IAM policy 的更多信息,请参阅《IAM 用户指南》中的创建 IAM policy。