AWS-Optionsgruppe hinzufügen

8

Ich habe dies im AWS-Forum gefragt, aber nicht viel Traktion bekommen. Mein Hauptproblem besteht darin, dass ich versuche, eine MS SQL Server-RDS-Datenbank wiederherzustellen, und die Fehlermeldung "Die Option zum Sichern / Wiederherstellen der Datenbank ist noch nicht aktiviert oder wird gerade aktiviert. Bitte versuchen Sie es später erneut." Ich habe diesen Thread zu diesem Problem gefunden:

https://forums.aws.amazon.com/message.jspa?messageID=736361

Dies schlägt vor, der Optionsgruppe der Datenbank eine Option hinzuzufügen. Die Schaltfläche "Option hinzufügen" in der Optionsgruppe ist jedoch deaktiviert, und das Dropdown-Menü zur Auswahl einer Optionsgruppe für die Datenbank ist ebenfalls deaktiviert. Daher kann ich der Optionsgruppe keine Option hinzufügen, und ich kann keine neue Optionsgruppe erstellen und diese auswählen. Ich habe gelernt, dass Sie einer Standardoptionsgruppe keine Optionen hinzufügen können, daher muss ich auf jeden Fall eine Optionsgruppe erstellen. Ich weiß immer noch nicht, warum ich die Optionsgruppe einer vorhandenen RDS-Instanz nicht ändern kann.

Also habe ich eine neue Optionsgruppe erstellt, kein Problem. Ich habe eine brandneue RDS-Instanz erstellt, damit ich eine andere Optionsgruppe auswählen kann. In der neuen Optionsgruppe, die ich erstellt habe, kann ich auf Option hinzufügen klicken, den Vorgang jedoch nicht erfolgreich abschließen. Ich habe eine IAM-Rolle mit der RDS-Vollzugriffsberechtigung erstellt. Beim Versuch, die Sicherungs- / Wiederherstellungsoption mit dieser Rolle zur Optionsgruppe hinzuzufügen, wird Folgendes angezeigt:

"Der ARN-Wert der IAM-Rolle ist ungültig oder enthält nicht die erforderlichen Berechtigungen für: SQLSERVER_BACKUP_RESTORE (Dienst: AmazonRDS; Statuscode: 400; Fehlercode: InvalidParameterValue; Anforderungs-ID: 3824d081-648a-11e6-9c94-87e171d2e1f8)"

Ich weiß nicht viel über IAM, daher bin ich mir nicht sicher, was ich damit anfangen soll. Ideen?

AKTUALISIEREN

Ich habe eine weitere Antwort im AWS-Forum erhalten. Hier ist der Vorschlag und meine Ergebnisse.

Bitte versuchen Sie die folgenden Schritte -

  1. Wählen Sie in der RDS-Konsole im linken Bereich Optionsgruppen aus
  2. Wählen Sie die von Ihnen erstellte Optionsgruppe aus und klicken Sie auf die Schaltfläche Option hinzufügen
  3. Wählen Sie in der Dropdown-Liste Option die Option SQL_SERVER_BACKUP_RESTORE aus.
  4. Klicken Sie in der Dropdown-Liste IAM-Rolle auf den Text Neue Rolle erstellen. Dies zeigt Ihnen Optionen für die Erstellung von IAM-Rollen.
  5. Fügen Sie einen Namen für die IAM-Rolle hinzu, wählen Sie den S3-Bucket aus, den Sie verwenden möchten, und aktivieren Sie das Kontrollkästchen Sofort anwenden.
  6. Klicken Sie auf die Schaltfläche Option hinzufügen.

Antworten

Das klang gut! Nachdem ich unten im Formular auf Option hinzufügen geklickt habe, wurde die Schaltfläche für einige Sekunden deaktiviert, und dann wurde das Feld IAM-Rollenname von Rot umgeben. Ich habe einen Screenshot angehängt. Wenn Sie auf das Ausrufezeichen oder eine rote Stelle klicken, werden keine zusätzlichen Informationen angezeigt. Ich habe ein paar verschiedene Namen mit dem gleichen Ergebnis ausprobiert. Gibt es Regeln für den Namen, die auf der Seite nicht angegeben sind? Danke nochmal für deine Hilfe.

Geben Sie hier die Bildbeschreibung ein

amazon-web-services amazon-rds amazon-iam nasch
quelle
2
Was hat der AWS-Support dazu gesagt? Wenn Sie keinen Supportplan haben, zahlen Sie einfach einen Monat und stornieren Sie dann, nachdem Sie Ihre Frage beantwortet haben. Es ist die Kosten wert.
EEAA
Ich werde das meinem Chef vorschlagen, wenn ich keine andere Antwort bekomme.
Nasch
Geben Sie keinen Namen in dieses Feld ein. Versuchen Sie stattdessen das Auswahlfeld IAM-Rolle
Jonah Benton
Wenn ich das mache, bekomme ich den gleichen Fehler wie zuvor:IAM role ARN value is invalid or does not include the required permissions for: SQLSERVER_BACKUP_RESTORE (Service: AmazonRDS; Status Code: 400; Error Code: InvalidParameterValue; Request ID: ab04cad7-6df2-11e6-bae8-737d9f5a0a02)
Nasch
Es sieht so aus, als müsste die IAM-Rolle über Berechtigungen für den s3-Bucket verfügen, aus dem die Wiederherstellung erfolgen soll, und nicht nur über Berechtigungen für die Datenbank.
Jonah Benton

Antworten:

3

Ich habe mich für bezahlten Support angemeldet und hier ist die Antwort, falls es jemand anderem hilft. Ich musste die Vertrauensrichtlinie für die IAM-Rolle folgendermaßen bearbeiten:

{
    "Version": "2012-10-17",
    "Statement":
    [{
        "Effect": "Allow",
        "Principal": {"Service":  "rds.amazonaws.com"},
        "Action": "sts:AssumeRole"
    }]
}

Dann konnte ich die Option zur Optionsgruppe hinzufügen und die Wiederherstellung funktionierte. Beachten Sie, dass die Vertrauensrichtlinie in der Webkonsole als "Vertrauensbeziehung" bezeichnet wird.

nasch
quelle
1

Nachfolgend finden Sie die Richtlinie für eine Rolle mit den Berechtigungen, die funktionieren sollten:

 {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1472672338000",
      "Effect": "Allow",
      "Action": [
        "rds:*"
      ],
      "Resource": [
        "arn:aws:rds:us-west-2:123456789012:snapshot:ms-sql-rds-final-snapshot"
      ]
    }
  ]
}
Anton Zorin
quelle
Ich verstehe nicht Mit "mein IAM-Benutzer" meinen Sie die Anmeldeinformationen, mit denen ich mich beim Dashboard anmelde? In diesem Fall verwende ich die Root-Anmeldeinformationen und kann problemlos Rollen erstellen. Meinen Sie die IAM- Rolle , die ich versuche, auf die Option zu setzen? Wenn ja, warum muss diese Rolle andere Rollen erstellen? Können Sie mir zeigen, wo ich diese Richtlinie speichern müsste, damit dies funktioniert? Muss ich eine benutzerdefinierte Richtlinie erstellen und diese dann für die von mir erstellte Rolle festlegen?
Nasch
Vielleicht existiert diese IAM-Rolle (rot hervorgehoben) bereits?
Anton Zorin
Nein, ich habe es mindestens dreimal mit Namen versucht, die noch nicht existieren.
Nasch