Điểm:0

Chính sách AWS để đọc/ghi RDS

lá cờ us

Trong kịch bản của tôi, tôi muốn một chính sách cho phép đọc và ghi abc-cơ sở dữ liệu-sao lưu/rds/postgresql-backup trên S3? Chúng tôi muốn các máy chủ của tôi có thêm quyền truy cập đó.

Tạo vai trò và gắn nó vào máy chủ là tốt nhất hay thêm khóa vào máy chủ?

Tôi đã thử điều này:

chính sách tạo aws iam \
     --policy-name rds-s3-tích hợp-chính sách \
     --Tài liệu chính sách '{
            "Phiên bản": "17-10-2012",
            "Bản tường trình": [
                {
                    "Hiệu ứng": "Cho phép",
                    "Hành động": "s3:ListAllMyBuckets",
                    "Nguồn": "*"
                },
                {
                    "Hiệu ứng": "Cho phép",
                    "Hoạt động": [
                        "s3:ListBucket",
                        "s3:GetBucketACL",
                        "s3:GetBucketLocation"
                    ],
                    "Tài nguyên": "arn:aws:s3:::bucket_name"
                },
                {
                    "Hiệu ứng": "Cho phép",
                    "Hoạt động": [
                        "s3:GetObject",
                        "s3:PutObject",
                        "s3:ListMultipartUploadParts",
                        "s3:AbortMultipartUpload"
                    ],
                    "Tài nguyên": "arn:aws:s3:::bucket_name/key_prefix/*"
                }
            ]
        }' 

Tôi sẽ rất biết ơn nếu được giúp đỡ vì kinh nghiệm của tôi trong lĩnh vực này có phần hạn chế.

Tim avatar
lá cờ gp
Tim
Có lẽ bạn có thể làm rõ câu hỏi của bạn.Bạn có muốn PostgreSQL trên nền tảng nào (RDS/EC2) có quyền truy cập vào một nhóm S3 cụ thể không? Điều này có xu hướng được thực hiện với một vai trò. Vui lòng bao gồm định nghĩa vai trò. Việc hiển thị trực tiếp vai trò và chính sách sẽ dễ dàng hơn so với lệnh CLI để tạo chúng.
samtech avatar
lá cờ us
Có, tôi muốn PostgreSQL trên RDS có quyền truy cập vào một nhóm S3 cụ thể. lời khuyên tốt nhất của bạn ở đây là gì, Tạo một vai trò và gắn nó vào máy chủ là tốt nhất hay thêm khóa vào máy chủ?
Điểm:0
lá cờ gp
Tim

Sử dụng một Vai trò liên kết dịch vụ để RDS cung cấp quyền truy cập vào S3 và bất kỳ tài nguyên có tên nào khác mà bạn yêu cầu. Đảm bảo phiên bản RDS có vai trò này. Bạn cũng nên đọc tài liệu này về việc nhập dữ liệu S3 vào RDS PostgreSQL bằng tiện ích mở rộng.

Tôi đã điều chỉnh một số cơ sở hạ tầng CloudFormation dưới dạng mã mà tôi có để thiết lập một vai trò. Bạn sẽ muốn sửa đổi quyền và tên bộ chứa cho phù hợp với yêu cầu của mình. Nó sẽ hoạt động bình thường nhưng tôi đã phải xoa bóp mã hiện có của mình, vì vậy nếu nó không hoạt động 100%, vui lòng chỉnh sửa bài đăng hoặc nhận xét để tôi có thể chỉnh sửa.

AWSTemplateFormatVersion: '2010-09-09'
Mô tả: Vai trò cho RDS

Tài nguyên:    
    RdsS3IntegrationVai trò:
        Loại: AWS::IAM::Vai trò
        Tính chất:
            Tên vai trò: RdsS3IntegrationVai trò
            Giả địnhRolePolicyDocument:
                Phiên bản: 2012-10-17
                Bản tường trình:
                    -
                        Tác dụng: Cho phép
                        Hiệu trưởng:
                            Dịch vụ:
                                - rds.amazonaws.com
                        Hoạt động:
                            - sts:AssumeVai trò
                
    Chính sách tích hợp RDSS3:
        Loại: AWS::IAM::Chính sách
        Tính chất:
            Vai trò:
                - !Ref 'RdsS3IntegrationRole'
            Tên chính sách: RDSS3IntegrationPolicy
            Tài liệu chính sách:
                Bản tường trình:
                    - Tác dụng: Cho phép
                        Hoạt động:
                            - s3:Nhận đối tượng
                            - s3:ListBucket 
                            - s3:PutObject 
                        Nguồn:
                            - !Sub 'arn:aws:s3:::bucketname/*'
                            - !Sub 'arn:aws:s3:::bucketname'
                    - Tác dụng: Cho phép
                        Hoạt động:
                            - km: Giải mã
                            - km: Mã hóa
                            - km:GenerateDataKey
                            - kms:ReEncryptTo
                            - km:DescribeKey
                            - kms:ReEncryptFrom
                        Nguồn:
                            - !Sub 'arn:aws:kms:ap-southeast-2:${AWS::AccountId}:key/*'

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.