Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration des autorisations IAM pour l'intégration de RDS for Oracle avec Amazon EFS
<a name="oracle-efs-integration.iam"></a>

Par défaut, la fonctionnalité d’intégration Amazon EFS n’utilise pas de rôle IAM : le paramètre de l’option `USE_IAM_ROLE` est `FALSE`. Pour intégrer RDS for Oracle avec Amazon EFS et un rôle IAM, votre instance de base de données doit avoir des autorisations IAM pour accéder à un système de fichiers Amazon EFS.

**Topics**
+ [Étape 1 : créer un rôle IAM pour votre instance de base de données et attacher votre politique](#oracle-efs-integration.iam.role)
+ [Étape 2 : créer une politique de système de fichiers pour votre système de fichiers Amazon EFS](#oracle-efs-integration.iam.policy)
+ [Étape 3 : associer votre rôle IAM à votre instance de base de données RDS for Oracle.](#oracle-efs-integration.iam.instance)

## Étape 1 : créer un rôle IAM pour votre instance de base de données et attacher votre politique
<a name="oracle-efs-integration.iam.role"></a>

Dans cette étape, vous créez un rôle pour votre instance de base de données RDS for Oracle afin d'autoriser Amazon RDS à accéder à votre système de fichiers EFS.

### Console
<a name="oracle-efs-integration.iam.role.console"></a>

**Pour créer un rôle IAM afin d'autoriser Amazon RDS à accéder à un système de fichiers EFS**

1. Ouvrez [IAM Management Console](https://console.aws.amazon.com/iam/home?#home).

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Sélectionnez **Create role** (Créer un rôle).

1. Pour **AWS Service**, choisissez **RDS**.

1. Pour **Sélectionner votre cas d'utilisation**, choisissez **RDS – Ajouter un rôle à la base de données**.

1. Choisissez **Suivant**.

1. N'ajoutez aucune politique d'autorisation. Choisissez **Suivant**.

1. Dans**Nom du rôle**, attribuez un nom à votre rôle IAM, par exemple, `rds-efs-integration-role`. Vous pouvez également ajouter une valeur **Description** facultative.

1. Choisissez **Créer un rôle**.

### AWS CLI
<a name="integration.preparing.role.CLI"></a>

Pour limiter les autorisations du service à une ressource spécifique, nous vous recommandons d'utiliser les clés de contexte de condition globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) et [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) dans des relations d'approbation basées sur les ressources. C’est le moyen le plus efficace de se protéger contre le [problème du député confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

Vous pouvez utiliser les deux clés de contexte de condition globale et faire en sorte que la valeur `aws:SourceArn` contienne l'ID de compte. Dans ce cas, la valeur `aws:SourceAccount` et le compte dans la valeur `aws:SourceArn` doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction.
+ Utilisez `aws:SourceArn` si vous souhaitez un accès interservices pour une seule ressource.
+ Utilisez `aws:SourceAccount` si vous souhaitez autoriser une ressource de ce compte à être associée à l’utilisation interservices.

Dans la relation d'approbation, assurez-vous d'utiliser la clé de contexte de condition globale `aws:SourceArn` avec l'Amazon Resource Name (ARN) complet des ressources qui accèdent au rôle.

La AWS CLI commande suivante crée le rôle nommé `rds-efs-integration-role` à cet effet.

**Example**  
Pour Linux, macOS ou Unix :  

```
aws iam create-role \
   --role-name rds-efs-integration-role \
   --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'
```
Pour Windows :  

```
aws iam create-role ^
   --role-name rds-efs-integration-role ^
   --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
            "Service": "rds.amazonaws.com"
          },
         "Action": "sts:AssumeRole",
         "Condition": {
             "StringEquals": {
                 "aws:SourceAccount": my_account_ID,
                 "aws:SourceArn": "arn:aws:rds:Region:my_account_ID:db:dbname"
             }
         }
       }
     ]
   }'
```

Pour plus d’informations, consultez [Création d’un rôle pour déléguer des autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.

## Étape 2 : créer une politique de système de fichiers pour votre système de fichiers Amazon EFS
<a name="oracle-efs-integration.iam.policy"></a>

Dans cette étape, vous créez une politique de système de fichiers pour votre système de fichiers EFS.

**Pour créer ou modifier une politique de système de fichiers EFS**

1. Ouvrez la [console de gestion EFS](https://console.aws.amazon.com/efs/home?#home).

1. Choisissez **Systèmes de fichiers**.

1. Sur la page **Système de fichiers**, choisissez le système de fichiers pour lequel vous souhaitez modifier ou créer une politique de système de fichiers. La page de détails de ce système de fichiers s'affiche.

1. Choisissez l'onglet **File system policy** (Politique de système de fichiers).

   Si la politique est vide, la politique de système de fichiers EFS par défaut est utilisée. Pour plus d'informations, consultez [Default EFS file system policy](https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html#default-filesystempolicy ) (Politique de système de fichiers EFS par défaut) dans le *Guide de l'utilisateur Amazon Elastic File System*.

1. Choisissez **Modifier**. La page **Politique du système de fichiers** s’affiche.

1. Dans **Policy editor** (Éditeur de politique), entrez une politique telle que la suivante, puis choisissez **Enregistrer**.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Id": "ExamplePolicy01",
       "Statement": [
           {
               "Sid": "ExampleStatement01",
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::123456789012:role/rds-efs-integration-role"
               },
               "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:ClientRootAccess"
               ],
               "Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/fs-1234567890abcdef0"
           }
       ]
   }
   ```

------

## Étape 3 : associer votre rôle IAM à votre instance de base de données RDS for Oracle.
<a name="oracle-efs-integration.iam.instance"></a>

Dans cette étape, vous associez votre rôle IAM à votre instance de base de données. Tenez compte des exigences suivantes :
+ Vous devez avoir accès à un rôle IAM auquel est attachée la politique d'autorisations Amazon EFS requise. 
+ Vous pouvez associer un seul rôle IAM à la fois avec votre instance de base de données RDS for Oracle.
+ Le statut de votre instance doit être **Available** (Disponible).

Pour plus d'informations, consultez [Identity and access management for Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/auth-and-access-control.html) (Gestion des identités et des accès pour Amazon EFS) dans le *guide de l'utilisateur Amazon Elastic File System*.

### Console
<a name="oracle-efs-integration.iam.instance.console"></a>

**Pour associer votre rôle IAM à votre instance de base de données RDS for Oracle**

1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)l'adresse.

1. Choisissez **Databases** (Bases de données).

1. Si votre instance de base de données n'est pas disponible, choisissez **Actions** , puis **Start (Démarrer)**. Lorsque le statut de l'instance affiche **Started (Démarré)**, passez à l'étape suivante.

1. Choisissez le nom de l’instance de base de données Oracle pour afficher ses détails.

1. Dans l'onglet **Connectivity & security** (Connectivité & sécurité), faites défiler l'écran jusqu'à l'onglet **Manage IAM roles** (Gérer les rôles IAM) au bas de la page.

1. Choisissez le rôle à ajouter dans la partie **Add IAM roles to this instance** (Ajouter des rôles IAM à cette instance).

1. Pour **Feature** (Fonction), choisissez **EFS\$1INTEGRATION**.

1. Choisissez **Ajouter un rôle**.

### AWS CLI
<a name="oracle-efs-integration.iam.instance.CLI"></a>

La AWS CLI commande suivante ajoute le rôle à une instance de base de données Oracle nommée`mydbinstance`.

**Example**  
Pour Linux, macOS ou Unix :  

```
aws rds add-role-to-db-instance \
   --db-instance-identifier mydbinstance \
   --feature-name EFS_INTEGRATION \
   --role-arn your-role-arn
```
Pour Windows :  

```
aws rds add-role-to-db-instance ^
   --db-instance-identifier mydbinstance ^
   --feature-name EFS_INTEGRATION ^
   --role-arn your-role-arn
```

Remplacez `your-role-arn` par l’ARN du rôle que vous avez noté lors d’une étape précédente. `EFS_INTEGRATION` doit être spécifié pour l’option `--feature-name`.