步骤 1:创建 IAM policy - Amazon Relational Database Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

步骤 1:创建 IAM policy

在此步骤中,您将创建一个 Amazon Identity and Access Management(IAM)策略,该策略具有将文件从您的 Amazon S3 存储桶传输到您的 RDS 数据库实例所需的权限。此步骤假定您已创建了 S3 桶。有关更多信息,请参阅《Amazon S3 用户指南》中的创建存储桶

创建策略前,请记下以下信息:

  • 存储桶的 Amazon 资源名称(ARN)。

  • 您的 Amazon Key Management Service(Amazon KMS)密钥的 ARN,如果您的存储桶使用 SSE-KMS 或 SSE-S3 加密。

创建包含以下权限的 IAM policy:

"kms:GenerateDataKey",
"kms:Decrypt",
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts"

您可以使用 Amazon Web Services Management Console或 Amazon Command Line Interface(Amazon CLI)创建 IAM policy。

创建 IAM policy 以允许 Amazon RDS 访问 Amazon S3 桶

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 选择创建策略,然后选择 JSON

  4. 按服务添加操作。要将文件从 Amazon S3 存储桶传输到 Amazon RDS,必须选择存储桶权限和对象权限。

  5. 展开 Resources(资源)。您必须指定您的存储桶和对象资源。

  6. 选择下一步

  7. 对于策略名称,输入此策略的名称。

  8. (可选)对于描述,输入此策略的描述。

  9. 选择创建策略

创建 IAM policy 以允许 Amazon RDS 访问 Amazon S3 桶

  1. 运行 create-policy 命令。在以下示例中,将 iam_policy_names3_bucket_name 替换为 IAM policy 的名称以及 RDS for Db2 数据库所在 Amazon S3 存储桶的名称。

    对于 Linux、macOS 或 Unix:

    aws iam create-policy \
    --policy-name iam_policy_name \
    --policy-document '{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "kms:GenerateDataKey",
            "kms:Decrypt",
            "s3:PutObject",
            "s3:GetObject",
            "s3:AbortMultipartUpload",
            "s3:ListBucket",
            "s3:DeleteObject",
            "s3:GetObjectVersion",
            "s3:ListMultipartUploadParts"
          ],
          "Resource": [
            "arn:aws:s3:::s3_bucket_name/*",
            "arn:aws:s3:::s3_bucket_name"
          ]
        }
      ]
    }'

    对于 Windows:

    aws iam create-policy ^
    --policy-name iam_policy_name ^
    --policy-document '{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
            "Action": [
              "s3:PutObject",
              "s3:GetObject",
              "s3:AbortMultipartUpload",
              "s3:ListBucket",
              "s3:DeleteObject",
              "s3:GetObjectVersion",
              "s3:ListMultipartUploadParts"
            ],
            "Resource": [
              "arn:aws:s3:::s3_bucket_name/*",
              "arn:aws:s3:::s3_bucket_name"
            ]
        }
      ]
    }'

  2. 创建策略后,请记下策略的 ARN。您需要步骤 2:创建 IAM 角色并附加您的 IAM policy的 ARN。

有关创建 IAM policy 的更多信息,请参阅《IAM 用户指南》中的创建 IAM policy