Einrichten Ihrer Umgebung für Amazon RDS Custom for SQL Server - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten Ihrer Umgebung für Amazon RDS Custom for SQL Server

Bevor Sie eine DB-Instance für Amazon RDS Custom for SQL Server DB-Instance erstellen und verwalten, müssen Sie die folgenden Aufgaben ausführen.

Voraussetzungen für das Einrichten von RDS Custom für SQL Server

Stellen Sie vor dem Erstellen einer DB-Instance von RDS Custom for SQL Server sicher, dass Ihre Umgebung die in diesem Thema beschriebenen Anforderungen erfüllt. Sie können die CloudFormation Vorlage auch verwenden, um die Voraussetzungen in Ihrem einzurichten AWS-Konto. Weitere Informationen finden Sie unter Konfiguration mit AWS CloudFormation.

Für RDS Custom for SQL Server müssen Sie die folgenden Voraussetzungen konfigurieren:

  • Konfigurieren Sie die AWS Identity and Access Management (IAM-) Berechtigungen, die für die Instanzerstellung erforderlich sind. Dies ist der AWS Identity and Access Management (IAM-) Benutzer oder die Rolle, die benötigt wird, um eine create-db-instance Anfrage an RDS zu stellen.

  • Konfigurieren Sie die erforderlichen Ressourcen, die für die DB-Instance RDS Custom for SQL Server erforderlich sind:

    • Konfigurieren Sie den AWS KMS Schlüssel, der für die Verschlüsselung der RDS-Custom-Instanz erforderlich ist. RDS Custom benötigt zum Zeitpunkt der Instanzerstellung einen vom Kunden verwalteten Schlüssel für die Verschlüsselung. Der KMS-Schlüssel ARN, ID, Alias-ARN oder Aliasname wird als kms-key-id Parameter in der Anforderung zur Erstellung der benutzerdefinierten RDS-DB-Instance übergeben.

    • Konfigurieren Sie die erforderlichen Berechtigungen innerhalb der DB-Instance RDS Custom for SQL Server. RDS Custom hängt der DB-Instance bei der Erstellung ein Instance-Profil an und verwendet es für die Automatisierung innerhalb der DB-Instance. Der Name des Instance-Profils ist custom-iam-instance-profile in der RDS-Anfrage zur benutzerdefinierten Erstellung auf festgelegt. Sie können aus dem ein Instanzprofil erstellen AWS Management Console oder Ihr Instanzprofil manuell erstellen. Weitere Informationen finden Sie unter Automatisierte Erstellung von Instanzprofilen mit dem AWS Management Console und Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils.

    • Konfigurieren Sie das Netzwerk-Setup gemäß den Anforderungen von RDS Custom for SQL Server. Benutzerdefinierte RDS-Instances befinden sich in den Subnetzen (konfiguriert mit der DB-Subnetzgruppe), die Sie bei der Instanzerstellung angeben. Diese Subnetze müssen es RDS-Custom-Instances ermöglichen, mit Diensten zu kommunizieren, die für die RDS-Automatisierung erforderlich sind.

Anmerkung

Stellen Sie für die oben genannten Anforderungen sicher, dass es keine Dienststeuerungsrichtlinien (SCPs) gibt, die die Berechtigungen auf Kontoebene einschränken.

Wenn das Konto, das Sie verwenden, Teil einer AWS Organization ist, verfügt es ggf. über Service-Kontrollrichtlinien (SCPs), die die Berechtigungen auf Kontoebene einschränken. Stellen Sie sicher, dass die SCPs die Berechtigungen für Benutzer und Rollen, die Sie mit den folgenden Verfahren erstellen, nicht einschränken.

Weitere Informationen zu SCPs finden Sie unter Service-Kontrollrichtlinien (SCPs) im AWS Organizations -Benutzerhandbuch. Verwenden Sie den AWS CLI Befehl describe-organization, um zu überprüfen, ob Ihr Konto Teil einer Organisation ist. AWS

Weitere Informationen zu AWS Organizations finden Sie unter Was sind AWS Organizations im AWS Organizations Benutzerhandbuch.

Allgemeine Anforderungen, die für RDS Custom for SQL Server gelten, finden Sie unter Allgemeine Anforderungen für RDS Custom for SQL Server.

Automatisierte Erstellung von Instanzprofilen mit dem AWS Management Console

Bei RDS Custom müssen Sie ein Instanzprofil erstellen und konfigurieren, um eine beliebige DB-Instance von RDS Custom for SQL Server zu starten. Verwenden Sie das AWS Management Console , um in einem einzigen Schritt ein neues Instanzprofil zu erstellen und anzuhängen. Diese Option ist im Abschnitt Benutzerdefinierte RDS-Sicherheit auf den Konsolenseiten Datenbank erstellen, Snapshot wiederherstellen und Zu einem bestimmten Zeitpunkt wiederherstellen verfügbar. Wählen Sie Neues Instanzprofil erstellen aus, um ein Namenssuffix für das Instanzprofil anzugeben. Das AWS Management Console erstellt ein neues Instanzprofil mit den Berechtigungen, die für benutzerdefinierte RDS-Automatisierungsaufgaben erforderlich sind. Um automatisch neue Instanzprofile zu erstellen, muss Ihr angemeldeter AWS Management Console Benutzer über die Berechtigungeniam:CreateInstanceProfile, iam:AddRoleToInstanceProfileiam:CreateRole, und verfügen. iam:AttachRolePolicy

Anmerkung

Diese Option ist nur in der verfügbar. AWS Management Console Wenn Sie die CLI oder das SDK verwenden, verwenden Sie die von RDS Custom bereitgestellte CloudFormation Vorlage oder erstellen Sie manuell ein Instanzprofil. Weitere Informationen finden Sie unter Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils.

Schritt 1: Erteilen Sie Ihrem IAM-Principal die erforderlichen Berechtigungen

Stellen Sie sicher, dass Sie über ausreichende Zugriffsrechte verfügen, um eine benutzerdefinierte RDS-Instanz zu erstellen. Die IAM-Rolle oder der IAM-Benutzer (als IAM-Prinzipal bezeichnet) für die Erstellung einer RDS Custom for SQL Server-DB-Instance mithilfe der Konsole oder CLI muss über eine der folgenden Richtlinien verfügen, damit die DB-Instance erfolgreich erstellt werden kann:

  • Die Richtlinie AdministratorAccess

  • Die folgende AmazonRDSFullAccess-Richtlinie zeigt die zusätzlichen Berechtigungen.

    iam:SimulatePrincipalPolicy cloudtrail:CreateTrail cloudtrail:StartLogging s3:CreateBucket s3:PutBucketPolicy s3:PutBucketObjectLockConfiguration s3:PutBucketVersioning kms:CreateGrant kms:DescribeKey kms:Decrypt kms:ReEncryptFrom kms:ReEncryptTo kms:GenerateDataKeyWithoutPlaintext kms:GenerateDataKey ec2:DescribeImages ec2:RunInstances ec2:CreateTags

    RDS Custom verwendet diese Berechtigungen bei der Instanzerstellung. Mit diesen Berechtigungen werden Ressourcen in Ihrem Konto konfiguriert, die für benutzerdefinierte RDS-Operationen erforderlich sind.

    Weitere Informationen zu kms:CreateGrant-Berechtigung finden Sie unter AWS KMS key Verwaltung.

Die folgende Beispiel-JSON-Richtlinie gewährt die erforderlichen Berechtigungen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ValidateIamRole", "Effect": "Allow", "Action": "iam:SimulatePrincipalPolicy", "Resource": "*" }, { "Sid": "CreateCloudTrail", "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:StartLogging" ], "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*" }, { "Sid": "CreateS3Bucket", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy", "s3:PutBucketObjectLockConfiguration", "s3:PutBucketVersioning" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*" }, { "Sid": "CreateKmsGrant", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] }

Der IAM-Principal benötigt die folgenden zusätzlichen Berechtigungen, um mit benutzerdefinierten Engine-Versionen (CEVs) arbeiten zu können:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigureKmsKeyEncryptionPermission", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:account_id:key/key_id" }, { "Sid": "CreateEc2Instance", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:RunInstances", "ec2:CreateTags" ], "Resource": "*" } ] }

Ersetzen Sie account_id durch die ID des Kontos, mit dem Sie Ihre Instanz erstellen. Ersetzen Sie region durch die, die AWS-Region Sie zum Erstellen Ihrer Instanz verwenden. Ersetzen Sie key_id durch Ihre vom Kunden verwaltete Schlüssel-ID. Sie können nach Bedarf mehrere Schlüssel hinzufügen.

Weitere Informationen zu den Berechtigungen auf Ressourcenebene, die zum Starten einer EC2-Instance erforderlich sind, finden Sie unter Launch instances (). RunInstances

Außerdem erfordert der IAM-Prinzipal die iam:PassRole-Berechtigung für die IAM-Rolle. Diese muss an das Instance-Profil angehängt werden, das im custom-iam-instance-profile-Parameter in der Anforderung übergeben wird, um die RDS-Custom-DB-Instance zu erstellen. Das Instance-Profil und seine angehängte Rolle werden später in Schritt 2: Netzwerk, Instanzprofil und Verschlüsselung konfigurieren erstellt.

Anmerkung

Stellen Sie sicher, dass die zuvor aufgeführten Berechtigungen nicht durch Service-Kontrollrichtlinien (SCPs), Berechtigungsgrenzen oder Sitzungsrichtlinien eingeschränkt sind, die mit dem IAM-Prinzipal verknüpft sind.

Schritt 2: Netzwerk, Instanzprofil und Verschlüsselung konfigurieren

Sie können Ihre IAM-Instanzprofilrolle, Ihre Virtual Private Cloud (VPC) und Ihren AWS KMS symmetrischen Verschlüsselungsschlüssel mithilfe eines der folgenden Prozesse konfigurieren:

Anmerkung

Wenn Ihr Konto Teil eines Kontos ist AWS Organizations, stellen Sie sicher, dass die für die Instanzprofilrolle erforderlichen Berechtigungen nicht durch Service Control Policies (SCPs) eingeschränkt werden.

Die Netzwerkkonfigurationen in diesem Thema funktionieren am besten mit DB-Instances, auf die nicht öffentlich zugegriffen werden kann. Sie können von außerhalb der VPC keine direkte Verbindung zu solchen DB-Instances herstellen.

Konfiguration mit AWS CloudFormation

Um die Einrichtung zu vereinfachen, können Sie eine AWS CloudFormation Vorlagendatei verwenden, um einen CloudFormation Stapel zu erstellen. Eine CloudFormation Vorlage erstellt alle Netzwerk-, Instanzprofile und Verschlüsselungsressourcen gemäß den Anforderungen von RDS Custom.

Informationen zum Erstellen von Stacks finden Sie im AWS CloudFormation Benutzerhandbuch unter Erstellen eines Stacks auf der AWS CloudFormation Konsole.

Ein Tutorial zum Starten von Amazon RDS Custom for SQL Server mithilfe einer AWS CloudFormation Vorlage finden Sie unter Erste Schritte mit Amazon RDS Custom for SQL Server unter Verwendung einer AWS CloudFormation Vorlage im AWS Datenbank-Blog.

Parameter, die benötigt werden von CloudFormation

Die folgenden Parameter sind erforderlich, um die erforderlichen Ressourcen für RDS Custom zu konfigurieren CloudFormation:

Parametergruppe Parametername Standardwert Beschreibung
Konfiguration der Verfügbarkeit Wählen Sie eine Verfügbarkeitskonfiguration für die Einrichtung der Voraussetzungen aus Multi-AZ Geben Sie an, ob die Voraussetzungen in einer Single-AZ- oder Multi-AZ-Konfiguration für benutzerdefinierte RDS-Instances eingerichtet werden sollen. Sie sollten die Multi-AZ-Konfiguration verwenden, wenn Sie in dieser Konfiguration mindestens eine Multi-AZ-DB-Instance benötigen
Netzwerkkonfiguration IPv4 CIDR-Block für VPC 10.0.0.0/16

Geben Sie einen IPv4-CIDR-Block (oder IP-Adressbereich) für Ihre VPC an. Diese VPC ist so konfiguriert, dass sie eine benutzerdefinierte RDS-DB-Instance erstellt und mit ihr arbeitet.

IPv4-CIDR-Block für 1 von 2 privaten Subnetzen 10.0.128.0/20

Geben Sie einen IPv4-CIDR-Block (oder IP-Adressbereich) für Ihr erstes privates Subnetz an. Dies ist eines der beiden Subnetze, in denen die RDS Custom DB-Instance erstellt werden kann. Dies ist ein privates Subnetz ohne Internetzugang.

IPv4-CIDR-Block für 2 von 2 privaten Subnetzen 10.0.144.0/20

Geben Sie einen IPv4-CIDR-Block (oder IP-Adressbereich) für Ihr zweites privates Subnetz an. Dies ist eines der beiden Subnetze, in denen die RDS Custom DB-Instance erstellt werden kann. Dies ist ein privates Subnetz ohne Internetzugang.

IPv4-CIDR-Block für das öffentliche Subnetz 10.0.0.0/20

Geben Sie einen IPv4-CIDR-Block (oder IP-Adressbereich) für Ihr öffentliches Subnetz an. Dies ist eines der Subnetze, in denen die EC2-Instance eine Verbindung mit der RDS Custom DB-Instance herstellen kann. Dies ist ein öffentliches Subnetz mit Internetzugang.

Konfiguration des RDP-Zugriffs IPv4-CIDR-Block Ihrer Quelle

Geben Sie einen IPv4-CIDR-Block (oder IP-Adressbereich) Ihrer Quelle an. Dies ist der IP-Bereich, von dem aus Sie eine RDP-Verbindung zur EC2-Instance im öffentlichen Subnetz herstellen. Wenn nicht festgelegt, ist die RDP-Verbindung zur EC2-Instance nicht konfiguriert.

Richten Sie den RDP-Zugriff auf RDS Custom für die SQL Server-Instanz ein Nein

Geben Sie an, ob die RDP-Verbindung von der EC2-Instance zur RDS Custom for SQL Server-Instanz aktiviert werden soll. Standardmäßig ist die RDP-Verbindung von der EC2-Instance zur DB-Instance nicht konfiguriert.

Wenn Sie den CloudFormation Stack erfolgreich mit den Standardeinstellungen erstellen, werden die folgenden Ressourcen in Ihrem erstellt AWS-Konto:

  • Symmetrischer KMS-Verschlüsselungsschlüssel zur Verschlüsselung von Daten, die von RDS Custom verwaltet werden.

  • Das Instanzprofil ist einer IAM-Rolle zugeordnet, AmazonRDSCustomInstanceProfileRolePolicy um die für RDS Custom erforderlichen Berechtigungen bereitzustellen. Weitere Informationen finden Sie unter AmazonRDS CustomServiceRolePolicy im AWS Managed Policy Reference Guide.

  • VPC mit dem als Parameter angegebenen CIDR-Bereich. CloudFormation Der Standardwert ist 10.0.0.0/16.

  • Zwei private Subnetze mit dem in den Parametern angegebenen CIDR-Bereich und zwei verschiedene Availability Zones in der AWS-Region. Die Standardwerte für die Subnetz-CIDRs sind 10.0.128.0/20 und 10.0.144.0/20.

  • Ein öffentliches Subnetz mit dem in den Parametern angegebenen CIDR-Bereich. Der Standardwert für das Subnetz CIDR ist 10.0.0.0/20. Die EC2-Instance befindet sich in diesem Subnetz und kann verwendet werden, um eine Verbindung zur benutzerdefinierten RDS-Instance herzustellen.

  • Die DHCP-Option wurde für die VPC mit Domänennamenauflösung für einen Amazon-DNS-Server (Domain Name System) festgelegt.

  • Routing-Tabelle zur Verknüpfung mit zwei privaten Subnetzen und ohne Zugang zum Internet.

  • Routing-Tabelle, die dem öffentlichen Subnetz zugeordnet werden soll und Zugriff auf das Internet hat.

  • Mit der VPC verbundenes Internet-Gateway, um den Internetzugang zum öffentlichen Subnetz zu ermöglichen.

  • Netzwerkzugriffskontrollliste (ACL) zur Verknüpfung mit zwei privaten Subnetzen und beschränkter Zugriff auf HTTPS und DB-Port innerhalb der VPC.

  • Die VPC-Sicherheitsgruppe, die der RDS-Custom-Instance zugeordnet werden soll. Der Zugriff ist für ausgehendes HTTPS auf AWS-Service Endpunkte beschränkt, die für RDS Custom und den eingehenden DB-Port der EC2-Instance-Sicherheitsgruppe erforderlich sind.

  • VPC-Sicherheitsgruppe, die der EC2-Instance im öffentlichen Subnetz zugeordnet werden soll. Der Zugriff ist für den ausgehenden DB-Port zur Sicherheitsgruppe RDS Custom Instance beschränkt.

  • VPC-Sicherheitsgruppe, die VPC-Endpunkten zugeordnet werden soll, die für Endpoints erstellt wurden, die für AWS-Service RDS Custom erforderlich sind.

  • DB-Subnetzgruppe, in der RDS-Custom-Instances erstellt werden. Zwei private Subnetze, die mit dieser Vorlage erstellt wurden, werden der DB-Subnetzgruppe hinzugefügt.

  • VPC-Endpunkte für jeden der AWS-Service Endpunkte, die für RDS Custom erforderlich sind.

Wenn Sie die Verfügbarkeitskonfiguration auf Multi-Az setzen, werden zusätzlich zur obigen Liste die folgenden Ressourcen erstellt:

  • Netzwerk-ACL-Regeln, die die Kommunikation zwischen privaten Subnetzen ermöglichen.

  • Eingehender und ausgehender Zugriff auf den Multi-AZ-Port innerhalb der VPC-Sicherheitsgruppe, die der benutzerdefinierten RDS-Instance zugeordnet ist.

  • VPC-Endpunkte zu AWS Service-Endpunkten, die für die Multi-AZ-Kommunikation erforderlich sind.

Darüber hinaus werden durch die Einstellung der RDP-Zugriffskonfiguration die folgenden Ressourcen erstellt:

  • Konfiguration des RDP-Zugriffs auf das öffentliche Subnetz von Ihrer Quell-IP-Adresse aus:

    • Netzwerk-ACL-Regeln, die eine RDP-Verbindung von Ihrer Quell-IP zum öffentlichen Subnetz ermöglichen.

    • Eingangszugriff auf den RDP-Port von Ihrer Quell-IP zur VPC-Sicherheitsgruppe, die der EC2-Instance zugeordnet ist.

  • Konfiguration des RDP-Zugriffs von der EC2-Instance im öffentlichen Subnetz zur RDS-Custom Instance in privaten Subnetzen:

    • Netzwerk-ACL-Regeln, die eine RDP-Verbindung vom öffentlichen Subnetz zu privaten Subnetzen ermöglichen.

    • Eingehender Zugriff auf den RDP-Port von der VPC-Sicherheitsgruppe, die der EC2-Instance zugeordnet ist, zur VPC-Sicherheitsgruppe, die der benutzerdefinierten RDS-Instance zugeordnet ist.

Verwenden Sie die folgenden Verfahren, um den CloudFormation Stack für RDS Custom for SQL Server zu erstellen.

Laden Sie die AWS CloudFormation Vorlagendatei herunter

So laden Sie die Vorlagendatei herunter
  1. Öffnen Sie das Kontextmenü (Rechtsklick) für den Link ( custom-sqlserver-onboard.zip) und wählen Sie Link speichern unter.

  2. Speichern und extrahieren Sie die Datei auf Ihrem Computer.

Konfiguration von Ressourcen mit CloudFormation

Um Ressourcen zu konfigurieren mit CloudFormation
  1. Öffnen Sie die CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Starten Sie den Assistenten zum Erstellen von Stacks und wählen Sie Create Stack (Stack erstellen) aus.

    Die Seite Create stack (Stack erstellen) wird angezeigt.

  3. Wählen Sie für Voraussetzung - Vorlage vorbereiten die Option Vorlage ist bereit aus.

  4. Gehen Sie für Specify template (Vorlage angeben) wie folgt vor:

    1. Wählen Sie unter Templete source (Vorlagenquelle) den Wert Upload a template file (Vorlagendatei hochladen) aus.

    2. Navigieren Sie unter Datei auswählen zu der entsprechenden Datei und wählen Sie sie aus.

  5. Wählen Sie Weiter aus.

    Die Seite Specify DB Details (DB-Details angeben) wird angezeigt.

  6. Geben Sie unter Stack name (Stack-Name) rds-custom-sqlserver ein.

  7. Führen Sie für Parameters (Parameter) die folgenden Schritte aus:

    1. Wenn Sie die Standardoptionen beibehalten möchten, wählen Sie Next (Weiter) aus.

    2. Um Optionen zu ändern, wählen Sie die entsprechende Verfügbarkeitskonfiguration, Netzwerkkonfiguration und RDP-Zugriffskonfiguration aus, und klicken Sie dann auf Weiter.

      Lesen Sie die Beschreibung jedes Parameters sorgfältig durch, bevor Sie die Parameter ändern.

    Anmerkung

    Wenn Sie mindestens eine Multi-AZ-Instance in diesem CloudFormation Stack erstellen möchten, stellen Sie sicher, dass der CloudFormation Stack-Parameter Wählen Sie eine Verfügbarkeitskonfiguration für die Einrichtung der Voraussetzungen auf eingestellt ist. Multi-AZ Wenn Sie den CloudFormation Stack als Single-AZ-Konfiguration erstellen, aktualisieren Sie den CloudFormation Stack auf eine Multi-AZ-Konfiguration, bevor Sie die erste Multi-AZ-Instance erstellen.

  8. Wählen Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Next (Weiter) aus.

  9. Gehen Sie auf der rds-custom-sqlserver Seite „Überprüfen“ wie folgt vor:

    1. Aktivieren Sie unter Capabilities (Funktionen) das Kontrollkästchen I acknowledge that AWS CloudFormation , das bestätigt, dass IAM-Ressourcen mit benutzerdefinierten Namen erstellen kann.

    2. Wählen Sie Stack erstellen aus.

Anmerkung

Aktualisieren Sie die aus diesem AWS CloudFormation Stapel erstellten Ressourcen nicht direkt von den Ressourcenseiten aus. Dadurch wird verhindert, dass Sie future Updates mithilfe einer AWS CloudFormation Vorlage auf diese Ressourcen anwenden.

CloudFormation erstellt die Ressourcen, die RDS Custom for SQL Server benötigt. Wenn die Stack-Erstellung fehlschlägt, rufen Sie die Seite Events (Ereignisse) auf, um zu sehen, welche Ressourcenerstellung mit welchem Statusgrund fehlgeschlagen.

Die Registerkarte Ausgaben für diesen CloudFormation Stack in der Konsole sollte Informationen über alle Ressourcen enthalten, die als Parameter für die Erstellung einer RDS Custom for SQL Server-DB-Instance übergeben werden müssen. Stellen Sie sicher, dass Sie die VPC-Sicherheitsgruppe und die DB-Subnetzgruppe verwenden, die von CloudFormation for RDS Custom DB-Instances erstellt wurden. Standardmäßig versucht RDS, die VPC-Standardsicherheitsgruppe anzuhängen, die möglicherweise nicht den benötigten Zugriff hat.

Wenn Sie früher CloudFormation Ressourcen erstellt haben, können Sie das überspringen. Manuelles Konfigurieren

Sie können auch einen Teil der Konfiguration auf dem CloudFormation Stack nach der Erstellung aktualisieren. Die Konfigurationen, die aktualisiert werden können, sind:

  • Verfügbarkeitskonfiguration für RDS Custom für SQL Server

    • Wählen Sie eine Verfügbarkeitskonfiguration für die Einrichtung der Voraussetzungen aus: Aktualisieren Sie diesen Parameter, um zwischen einer Single-AZ- und einer Multi-AZ-Konfiguration zu wechseln. Wenn Sie diesen CloudFormation Stack für mindestens eine Multi-AZ-Instance verwenden, müssen Sie den Stack aktualisieren, um die Multi-AZ-Konfiguration zu wählen.

  • RDP-Zugriffskonfiguration für RDS Benutzerdefiniert für SQL Server

    • IPv4-CIDR-Block Ihrer Quelle: Sie können den IPv4-CIDR-Block (oder den IP-Adressbereich) Ihrer Quelle aktualisieren, indem Sie diesen Parameter aktualisieren. Wenn Sie diesen Parameter auf leer setzen, wird die RDP-Zugriffskonfiguration aus Ihrem CIDR-Quellblock zum öffentlichen Subnetz entfernt.

    • RDP-Zugriff auf RDS Custom for SQL Server einrichten: Aktivieren oder deaktivieren Sie die RDP-Verbindung von der EC2-Instance zur RDS Custom for SQL Server-Instanz.

Sie können den CloudFormation Stack löschen, nachdem Sie alle benutzerdefinierten RDS-Instances gelöscht haben, die Ressourcen aus dem Stack verwenden. RDS Custom verfolgt den CloudFormation Stack nicht und blockiert daher nicht das Löschen des Stacks, wenn es DB-Instances gibt, die Stack-Ressourcen verwenden. Stellen Sie sicher, dass es beim Löschen des Stacks keine benutzerdefinierten RDS-DB-Instances gibt, die die Stack-Ressourcen verwenden.

Anmerkung

Wenn Sie einen CloudFormation Stack löschen, werden alle vom Stack erstellten Ressourcen mit Ausnahme des KMS-Schlüssels gelöscht. Der KMS-Schlüssel wechselt in den Status „Ausstehende Löschung“ und wird nach 30 Tagen gelöscht. Um den KMS-Schlüssel zu behalten, führen Sie während der 30-tägigen Nachfrist einen CancelKeyDeletionVorgang durch.

Manuelles Konfigurieren

Wenn Sie Ressourcen manuell konfigurieren möchten, gehen Sie wie folgt vor.

Anmerkung

Um die Einrichtung zu vereinfachen, können Sie die AWS CloudFormation Vorlagendatei verwenden, um einen CloudFormation Stack zu erstellen, anstatt eine manuelle Konfiguration vorzunehmen. Weitere Informationen finden Sie unter Konfiguration mit AWS CloudFormation.

Sie können den auch verwenden AWS CLI , um diesen Abschnitt zu vervollständigen. Wenn ja, laden Sie die neueste CLI herunter und installieren Sie sie.

Stellen Sie sicher, dass Sie über einen symmetrischen AWS KMS Verschlüsselungsschlüssel verfügen

Für RDS Custom AWS KMS key ist eine symmetrische Verschlüsselung erforderlich. Wenn Sie eine RDS Custom for SQL Server-DB-Instance erstellen, stellen Sie sicher, dass Sie die KMS-Schlüssel-ID als Parameter angebenkms-key-id. Weitere Informationen finden Sie unter Eine DB-Instance für Amazon RDS Custom for SQL Server erstellen und eine Verbindung zu ihr herstellen.

Ihnen stehen folgende Optionen zur Verfügung:

  • Wenn Sie bereits einen vom Kunden verwalteten KMS-Schlüssel in Ihrer haben AWS-Konto, können Sie ihn mit RDS Custom verwenden. Es sind keine weiteren Maßnahmen erforderlich.

  • Wenn Sie bereits einen kundenverwalteten symmetrischen KMS-Verschlüsselungsschlüssel für eine andere RDS-Custom-Engine erstellt haben, können Sie denselben KMS-Schlüssel wiederverwenden. Es sind keine weiteren Maßnahmen erforderlich.

  • Wenn Sie keinen vorhandenen kundenverwalteten symmetrischen KMS-Verschlüsselungsschlüssel in Ihrem Konto haben, erstellen Sie einen KMS-Schlüssel, indem Sie den Anweisungen unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch folgen.

  • Wenn Sie eine benutzerdefinierte CEV- oder RDS-DB-Instance erstellen und sich Ihr KMS-Schlüssel in einer anderen befindet AWS-Konto, stellen Sie sicher, dass Sie den AWS CLI verwenden. Sie können die AWS Konsole nicht mit kontoübergreifenden KMS-Schlüsseln verwenden.

Wichtig

RDS Custom unterstützt keine AWS verwalteten KMS-Schlüssel.

Stellen Sie sicher, dass Ihr symmetrischer Verschlüsselungsschlüssel Zugriff auf die kms:Decrypt und kms:GenerateDataKey -Operationen der AWS Identity and Access Management (IAM-) Rolle in Ihrem IAM-Instanzprofil gewährt. Wenn Sie einen neuen symmetrischen Verschlüsselungsschlüssel in Ihrem Konto haben, sind keine Änderungen erforderlich. Stellen Sie andernfalls sicher, dass die Richtlinie Ihres symmetrischen Verschlüsselungsschlüssels Zugriff auf diese Operationen erteilt.

Weitere Informationen finden Sie unter Schritt 4: Konfigurieren Sie IAM für RDS Custom für Oracle.

Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils

Sie können manuell ein Instance-Profil erstellen und es verwenden, um benutzerdefinierte RDS-Instances zu starten. Wenn Sie planen, die Instanz in zu erstellen AWS Management Console, überspringen Sie diesen Abschnitt. Das AWS Management Console ermöglicht es Ihnen, ein Instance-Profil zu erstellen und an Ihre RDS Custom DB-Instances anzuhängen. Weitere Informationen finden Sie unter Automatisierte Erstellung von Instanzprofilen mit dem AWS Management Console.

Wenn Sie manuell ein Instanzprofil erstellen, übergeben Sie den Namen des Instanzprofils als custom-iam-instance-profile Parameter an Ihren create-db-instance CLI-Befehl. RDS Custom verwendet die diesem Instanzprofil zugeordnete Rolle, um die Automatisierung zur Verwaltung der Instanz auszuführen.

So erstellen Sie das IAM-Instance-Profil und IAM-Rollen für RDS Custom for SQL Server
  1. Erstellen Sie die -IAM-Rolle namens AWSRDSCustomSQLServerInstanceRole mit einer Vertrauensrichtlinie, die es Amazon EC2 erlaubt, diese Rolle anzunehmen.

  2. Fügen Sie die AWS verwaltete Richtlinie AmazonRDSCustomInstanceProfileRolePolicy zu hinzuAWSRDSCustomSQLServerInstanceRole.

  3. Erstellen Sie ein IAM-Instance-Profil für RDS Custom for SQL Server namens AWSRDSCustomSQLServerInstanceProfile.

  4. Fügen Sie dem Instance-Profil AWSRDSCustomSQLServerInstanceRole hinzu.

Erstellen Sie die AWSRDSCustomSQLServerInstanceRole IAM-Rolle

Im folgenden Beispiel wird eine AWSRDSCustomSQLServerInstanceRole-Rolle erstellt. Mithilfe der Vertrauensrichtlinie können Amazon EC2 die Rolle übernehmen.

aws iam create-role \ --role-name AWSRDSCustomSQLServerInstanceRole \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" } } ] }'
Fügen Sie eine Zugriffsrichtlinie hinzu zu AWSRDSCustomSQLServerInstanceRole

Um die erforderlichen Berechtigungen bereitzustellen, hängen Sie die AWS verwaltete Richtlinie AmazonRDSCustomInstanceProfileRolePolicy an anAWSRDSCustomSQLServerInstanceRole. AmazonRDSCustomInstanceProfileRolePolicyermöglicht benutzerdefinierten RDS-Instances das Senden und Empfangen von Nachrichten sowie das Ausführen verschiedener Automatisierungsaktionen.

Anmerkung

Stellen Sie sicher, dass die Berechtigungen in der Zugriffsrichtlinie nicht durch SCPs oder Berechtigungsgrenzen beschränkt sind, die mit der Instance-Profilrolle verknüpft sind.

Im folgenden Beispiel wird der AWSRDSCustomSQLServerInstanceRole Rolle eine AWS verwaltete Richtlinie AWSRDSCustomSQLServerIamRolePolicy angehängt.

aws iam attach-role-policy \ --role-name AWSRDSCustomSQLServerInstanceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy
Erstellen Sie Ihr RDS Custom for SQL Server-Instanzprofil

Ein Instance-Profil ist ein Container, der eine einzelne IAM-Rolle enthält. RDS Custom verwendet das Instance-Profil, um die Rolle der Instance zu übergeben.

Wenn Sie die verwenden, AWS Management Console um eine Rolle für Amazon EC2 zu erstellen, erstellt die Konsole automatisch ein Instance-Profil und weist diesem bei der Erstellung der Rolle denselben Namen zu. Erstellen Sie Ihr Instanzprofil wie folgt und benennen Sie es AWSRDSCustomSQLServerInstanceProfile.

aws iam create-instance-profile \ --instance-profile-name AWSRDSCustomSQLServerInstanceProfile
Fügen Sie AWSRDSCustomSQLServerInstanceRole es Ihrem Instanzprofil RDS Custom for SQL Server hinzu

Fügen Sie die AWSRDSCustomInstanceRoleForRdsCustomInstance Rolle dem zuvor erstellten AWSRDSCustomSQLServerInstanceProfile Profil hinzu.

aws iam add-role-to-instance-profile \ --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \ --role-name AWSRDSCustomSQLServerInstanceRole

Konfigurieren Ihrer VPC manuell

Ihre RDS-Custom-DB-Instance befindet sich in einer virtuellen privaten Cloud (VPC), die auf dem Amazon-VPC-Service basiert, genau wie eine Amazon-EC2-Instance oder eine Amazon-RDS-Instance. Sie stellen Ihre eigene VPC zur Verfügung und konfigurieren sie. Somit haben Sie die volle Kontrolle über Ihr Instanznetzwerk-Setup.

RDS Custom sendet Kommunikation von Ihrer DB-Instance an andere AWS-Services. Stellen Sie sicher, dass von dem Subnetz aus, in dem Sie Ihre benutzerdefinierten RDS-DB-Instances erstellen, auf die folgenden Dienste zugegriffen werden kann:

  • Amazon CloudWatch

  • CloudWatch Amazon-Protokolle

  • CloudWatch Amazon-Veranstaltungen

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Bei der Erstellung von Multi-AZ-Bereitstellungen

  • Amazon Simple Queue Service

Wenn RDS Custom nicht mit den erforderlichen Diensten kommunizieren kann, werden die folgenden Ereignisse veröffentlicht:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Um incompatible-network Fehler zu vermeiden, stellen Sie sicher, dass die VPC-Komponenten, die an der Kommunikation zwischen Ihrer RDS Custom DB-Instance beteiligt sind, die folgenden Anforderungen AWS-Services erfüllen:

  • Die DB-Instance kann ausgehende Verbindungen an Port 443 mit anderen AWS-Services herstellen.

  • Die VPC lässt eingehende Antworten auf Anfragen zu, die von Ihrer DB-Instance von RDS Custom stammen.

  • RDS Custom kann die Domain-Namen von Endpunkten für jeden AWS-Service korrekt auflösen.

Wenn Sie eine VPC bereits für eine andere DB-Engine von RDS Custom konfiguriert haben, können Sie diese VPC wiederverwenden und diesen Prozess überspringen.

Konfigurieren Sie Ihre VPC-Sicherheitsgruppen wie folgt:

Eine Sicherheitsgruppe dient als virtuelle Firewall für Ihre VPC-Instance zur Steuerung von ein- und ausgehendem Datenverkehr. Einer RDS Custom DB-Instance ist eine Sicherheitsgruppe an die Netzwerkschnittstelle angehängt, die die Instance schützt. Stellen Sie sicher, dass Ihre Sicherheitsgruppe Datenverkehr zwischen RDS Custom und anderen AWS-Services über HTTPS zulässt. Sie übergeben diese Sicherheitsgruppe als vpc-security-group-ids Parameter in der Anfrage zur Instanzerstellung.

So konfigurieren Sie Ihre Sicherheitsgruppe für RDS Custom
  1. Melden Sie sich bei der Amazon VPC-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/vpc.

  2. Erlauben Sie RDS Custom, die Standardsicherheitsgruppe zu verwenden, oder erstellen Sie Ihre eigene Sicherheitsgruppe.

    Detaillierte Anweisungen finden Sie unter Ermöglichen Sie Zugriff auf Ihre DB-Instance in Ihrem, VPC indem Sie eine Sicherheitsgruppe erstellen.

  3. Stellen Sie sicher, dass Ihre Sicherheitsgruppe eingehende Verbindungen an Port 443 zulässt. RDS Custom benötigt diesen Port, um mit abhängigen AWS-Services zu kommunizieren.

  4. Wenn Sie eine private VPC mit VPC-Endpunkten verwenden, stellen Sie sicher, dass die mit der DB-Instance verbundene Sicherheitsgruppe ausgehende Verbindungen mit VPC-Endpunkten an Port 443 zulässt. Stellen Sie außerdem sicher, dass die mit dem VPC-Endpunkt verknüpfte Sicherheitsgruppe eingehende Verbindungen an Port 443 von der DB-Instance zulässt.

    Wenn keine eingehenden Verbindungen zulässig sind, kann die RDS-Custom-Instance keine Verbindung mit AWS Systems Manager und den EC2-Endpunkten herstellen. Weitere Informationen finden Sie unter Erstellen eines Virtual-Private-Cloud-Endpunkts im AWS Systems Manager -Benutzerhandbuch.

  5. Stellen Sie bei RDS Custom for SQL Server Multi-AZ-Instances sicher, dass die der DB-Instance zugeordnete Sicherheitsgruppe eingehende und ausgehende Verbindungen über Port 1120 zu dieser Sicherheitsgruppe selbst zulässt. Dies ist für eine Peer-Host-Verbindung auf einer Multi-AZ-RDS-Custom for SQL Server-DB-Instance erforderlich.

Weitere Informationen zu VPC-Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

Konfigurieren Sie Endpunkte für abhängige AWS-Services

Wir empfehlen Ihnen, Ihrer VPC Endpunkte für jeden Dienst mit den folgenden Anweisungen hinzuzufügen. Sie können jedoch jede Lösung verwenden, mit der Ihre VPC mit AWS Service-Endpunkten kommunizieren kann. Zum Beispiel können Sie Network Address Translation (NAT) oder AWS Direct Connect nutzen.

Um Endpunkte zu konfigurieren, für die RDS AWS-Services Custom funktioniert
  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie in der Navigationsleiste mithilfe der Regionsauswahl AWS-Region Ihre Region aus.

  3. Wählen Sie im Navigationsbereich Endpunkte aus. Wählen Sie im Hauptnavigationsbereich Create Endpoint (Endpunkt erstellen).

  4. Wählen Sie für Service category (Servicekategorie) die Option AWS-Services aus.

  5. Für Service-Name wählen Sie den in der Tabelle angezeigten Endpunkt aus.

  6. Wählen Sie unter VPC Ihre VPC aus.

  7. Wählen Sie unter Subnetze ein Subnetz für jede Availability Zone aus, die eingeschlossen werden soll.

    Der VPC-Endpunkt kann sich über mehrere Availability Zones erstrecken. AWS erstellt eine elastic network interface für den VPC-Endpunkt in jedem Subnetz, das Sie auswählen. Jede Netzwerkschnittstelle weist einen Domain-Name-System(DNS)-Hostnamen und eine private IP-Adresse auf.

  8. Wählen Sie unter Security groups eine Sicherheitsgruppe aus oder erstellen Sie eine.

    Sie können mit Sicherheitsgruppen den Zugriff auf Ihren Endpunkt steuern, ähnlich wie bei der Verwendung einer Firewall. Stellen Sie sicher, dass die Sicherheitsgruppe eingehende Verbindungen von den DB-Instances über Port 443 zulässt. Weitere Informationen zu VPC-Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon VPC-Benutzerhandbuch.

  9. Optional können Sie eine Richtlinie an den VPC-Endpunkt anhängen. Endpunktrichtlinien können den Zugriff auf die Daten steuern AWS-Service , zu denen Sie eine Verbindung herstellen. Die Standardrichtlinie erlaubt es, dass alle Anfragen den Endpunkt passieren. Wenn Sie eine benutzerdefinierte Richtlinie verwenden, stellen Sie sicher, dass Anfragen von der DB-Instance in der Richtlinie zulässig sind.

  10. Wählen Sie Endpunkt erstellen aus.

In der folgenden Tabelle wird erläutert, wie Sie die Liste der Endpunkte finden, die Ihre VPC für ausgehende Kommunikation benötigt.

Service Endpunkt-Format Hinweise und Links

AWS Systems Manager

Verwenden Sie die folgenden Endpunktformate:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Eine Liste aller Endpunkte in den einzelnen Regionen finden Sie unter AWS Systems Manager -Endpunkte und Kontingente im Allgemeine Amazon Web Services-Referenz.

AWS Secrets Manager

Verwenden Sie dabei das Endpunktformat secretsmanager.region.amazonaws.com.

Eine Liste aller Endpunkte in den einzelnen Regionen finden Sie unter AWS Secrets Manager -Endpunkte und Kontingente im Allgemeine Amazon Web Services-Referenz.

Amazon CloudWatch

Verwenden Sie die folgenden Endpunktformate:

  • Verwenden Sie für CloudWatch Metriken monitoring.region.amazonaws.com

  • Verwenden Sie für CloudWatch Ereignisse events.region.amazonaws.com

  • Verwenden Sie für CloudWatch Protokolle logs.region.amazonaws.com

Eine Liste der Endpunkte in jeder Region finden Sie unter:

Amazon EC2

Verwenden Sie die folgenden Endpunktformate:

  • ec2.region.amazonaws.com

  • ec2messages.region.amazonaws.com

Eine vollständige Liste der Endpunkte in jeder Region finden Sie unter Endpunkte und Kontingente von Amazon Elastic Compute Cloud im Allgemeine Amazon Web Services-Referenz.

Amazon S3

Verwenden Sie dabei das Endpunktformat s3.region.amazonaws.com.

Eine vollständige Liste der Endpunkte in jeder Region finden Sie unter Endpunkte und Kontingente von Amazon Simple Storage Service im Allgemeine Amazon Web Services-Referenz.

Weitere Informationen zu Gateway-Endpunkten für Amazon S3 finden Sie unterEndpunkte für Amazon S3imEntwicklerhandbuch für Amazon VPCaus.

Informationen zum Erstellen eines Zugriffspunkts finden Sie unter Erstellen von Zugriffspunkten im Entwicklerhandbuch für Amazon VPC.

Weitere Informationen zum Erstellen eines Gateway-Endpunkts für Amazon S3 finden Sie unter Gateway-VPC-Endpunkte.

Amazon Simple Queue Service

Verwenden Sie das Endpunktformat sqs.region.amazonaws.com Eine Liste der Endpunkte in den einzelnen Regionen finden Sie unter Amazon Simple Queue Service-Endpunkte und Kontingente.
Konfigurieren des Instance-Metadaten-Service

Stellen Sie folgendermaßen sicher, dass die EC2-Instance eine Verbindung zu herstellen kann:

  • Er greift auf Instance-Metadaten mithilfe von Version 2 des Instance Metadata Service (IMDSv1) zu.

  • Lassen Sie ausgehende Kommunikation über Port 80 (HTTP) zur IMDS-Link-IP-Adresse zu.

  • Fordern Sie Instance-Metadaten von http://169.254.169.254, der IMDSv2-Link.

Weitere Informationen finden Sie unter Verwenden von IMDSv2 im Amazon EC2 EC2-Benutzerhandbuch.

Instanzübergreifende Einschränkung

Wenn Sie mithilfe der oben genannten Schritte ein Instanzprofil erstellen, verwendet es die AWS verwaltete Richtlinie, AmazonRDSCustomInstanceProfileRolePolicy um RDS Custom die erforderlichen Berechtigungen bereitzustellen, wodurch die Instanzverwaltung und -überwachung automatisiert werden können. Die verwaltete Richtlinie stellt sicher, dass die Berechtigungen nur den Zugriff auf die Ressourcen ermöglichen, die RDS Custom für die Ausführung der Automatisierung benötigt. Wir empfehlen, die verwaltete Richtlinie zu verwenden, um neue Funktionen zu unterstützen und Sicherheitsanforderungen zu erfüllen, die automatisch und ohne manuelles Eingreifen auf bestehende Instanzprofile angewendet werden. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: AmazonRDSCusto m. InstanceProfileRolePolicy

Die AmazonRDSCustomInstanceProfileRolePolicy verwaltete Richtlinie schränkt den kontoübergreifenden Zugriff des Instance-Profils ein, ermöglicht aber möglicherweise den Zugriff auf einige von RDS Custom verwaltete Ressourcen für RDS Custom-Instances innerhalb desselben Kontos. Je nach Ihren Anforderungen können Sie Berechtigungsgrenzen verwenden, um den instanzübergreifenden Zugriff weiter einzuschränken. Berechtigungsgrenzen definieren die maximalen Berechtigungen, die die identitätsbasierten Richtlinien einer Entität gewähren können, gewähren aber selbst keine Berechtigungen. Weitere Informationen finden Sie unter Bewertung effektiver Berechtigungen mit Grenzen.

Die folgende Richtlinie schränkt beispielsweise die Instanzprofilrolle auf den Zugriff auf einen bestimmten AWS KMS Schlüssel ein und beschränkt den Zugriff auf von RDS Custom verwaltete Ressourcen auf Instances, die unterschiedliche AWS KMS Schlüssel verwenden.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyOtherKmsKeyAccess", "Effect": "Deny", "Action": "kms:*", "NotResource": "arn:aws:kms:region:acct_id:key/KMS_key_ID" }, { "Sid": "NoBoundarySetByDefault", "Effect": "Allow", "Action": "*", "Resource": "*" } ] }
Anmerkung

Stellen Sie sicher, dass die Rechtegrenze keine Berechtigungen blockiert, die RDS Custom AmazonRDSCustomInstanceProfileRolePolicy gewährt werden.