Einrichten Ihrer Umgebung für Amazon RDS Custom für SQL Server - Amazon Relational Database Service
Voraussetzungen für das Einrichten von RDS Custom für SQL ServerSchritt 1: Erteilen der erforderlichen Berechtigungen für Ihren IAM-PrinzipalSchritt 2: Konfigurieren von Netzwerken, Instance-Profil und VerschlüsselungInstance-übergreifende Beschränkung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten Ihrer Umgebung für Amazon RDS Custom für SQL Server

Bevor Sie eine DB-Instance für Amazon RDS Custom für SQL Server DB-Instance erstellen und verwalten, müssen Sie die folgenden Aufgaben ausführen.

Anmerkung

Ein step-by-step Tutorial zum Einrichten der Voraussetzungen und zum Starten von Amazon RDS Custom for SQL Server finden Sie unter Erste Schritte mit Amazon RDS Custom for SQL Server mithilfe einer CloudFormation Vorlage (Netzwerkkonfiguration) und Erkunden Sie die Voraussetzungen, die für die Erstellung einer Amazon RDS Custom for SQL Server-Instance erforderlich sind.

Voraussetzungen für das Einrichten von RDS Custom für SQL Server

Stellen Sie vor dem Erstellen einer DB-Instance von RDS Custom für SQL Server sicher, dass Ihre Umgebung die in diesem Thema beschriebenen Anforderungen erfüllt. Sie können die CloudFormation Vorlage auch verwenden, um die Voraussetzungen in Ihrem einzurichten AWS-Konto. Weitere Informationen finden Sie unter Konfiguration mit AWS CloudFormation.

RDS Custom für SQL Server erfordert, dass Sie die folgenden Voraussetzungen konfigurieren:

  • Konfigurieren Sie die AWS Identity and Access Management (IAM-) Berechtigungen, die für die Instanzerstellung erforderlich sind. Dies ist der AWS Identity and Access Management (IAM)-Benutzer oder die Rolle, der/die benötigt wird, um eine Anfrage des Typs create-db-instance an RDS zu stellen.

  • Konfigurieren Sie die erforderlichen Ressourcen, die Voraussetzung für die DB-Instance von RDS Custom für SQL Server sind:

    • Konfigurieren Sie den AWS KMS Schlüssel, der für die Verschlüsselung der RDS-Custom-Instanz erforderlich ist. RDS Custom benötigt zum Zeitpunkt der Instance-Erstellung einen kundenseitig verwalteten Schlüssel für die Verschlüsselung. Der KMS-Schlüssel-ARN, die ID, der Alias-ARN oder der Aliasname wird als Parameter kms-key-id in der Anforderung zum Erstellen der DB-Instance von RDS Custom weitergegeben.

    • Konfigurieren Sie die Berechtigungen, die in der DB-Instance von RDS Custom für SQL erforderlich sind. RDS Custom hängt der DB-Instance bei der Erstellung ein Instance-Profil an und verwendet es für die Automatisierung innerhalb der DB-Instance. Der Name des Instance-Profils ist in der RDS-Custom-Erstellungsanfrage auf custom-iam-instance-profile festgelegt. Sie können aus dem ein Instanzprofil erstellen AWS Management Console oder Ihr Instanzprofil manuell erstellen. Weitere Informationen erhalten Sie unter Automatisierte Erstellung von Instanzprofilen mit dem AWS Management Console und Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils.

    • Konfigurieren Sie die Netzwerkeinrichtung gemäß den Anforderungen von RDS Custom für SQL Server. RDS-Custom-Instances befinden sich in den Subnetzen (konfiguriert mit der DB-Subnetzgruppe), die Sie bei der Instance-Erstellung angeben. Diese Subnetze müssen es RDS-Custom-Instances ermöglichen, mit Services zu kommunizieren, die für die RDS-Automatisierung erforderlich sind.

Anmerkung

Stellen Sie für die oben genannten Anforderungen sicher, dass es keine Dienststeuerungsrichtlinien (SCPs) gibt, die die Berechtigungen auf Kontoebene einschränken.

Wenn das von Ihnen verwendete Konto Teil einer AWS Organisation ist, verfügt es möglicherweise über Dienststeuerungsrichtlinien (SCPs), die die Berechtigungen auf Kontoebene einschränken. Stellen Sie sicher, dass die Berechtigungen für Benutzer und Rollen, die Sie mithilfe der folgenden Verfahren erstellen, SCPs nicht eingeschränkt werden.

Weitere Informationen zu SCPs finden Sie unter Richtlinien zur Dienststeuerung (SCPs) im AWS Organizations Benutzerhandbuch. Verwenden Sie den AWS CLI Befehl describe-organization, um zu überprüfen, ob Ihr Konto Teil einer AWS Organisation ist.

Weitere Informationen zu AWS Organizations finden Sie unter Was ist AWS Organizations im AWS Organizations Benutzerhandbuch.

Allgemeine Anforderungen, die für RDS Custom für SQL Server gelten, finden Sie unter Allgemeine Anforderungen von RDS Custom für SQL Server.

Automatisierte Erstellung von Instanzprofilen mit dem AWS Management Console

RDS Custom erfordert, dass Sie ein Instance-Profil erstellen und konfigurieren, um eine DB-Instance von RDS Custom für SQL Server zu starten. Verwenden Sie den AWS Management Console , um in einem einzigen Schritt ein neues Instanzprofil zu erstellen und anzuhängen. Diese Option ist im Abschnitt zur RDS-Custom-Sicherheit auf den Konsolenseiten Datenbank erstellen, Snapshot wiederherstellen und Auf einen bestimmten Zeitpunkt wiederherstellen verfügbar. Wählen Sie Neues Instance-Profil erstellen aus, um ein Namenssuffix für das Instance-Profil anzugeben. Das AWS Management Console erstellt ein neues Instanzprofil mit den Berechtigungen, die für benutzerdefinierte RDS-Automatisierungsaufgaben erforderlich sind. Um automatisch neue Instanzprofile zu erstellen, muss Ihr angemeldeter AWS Management Console Benutzer über die Berechtigungeniam:CreateInstanceProfile, iam:AddRoleToInstanceProfileiam:CreateRole, und verfügen. iam:AttachRolePolicy

Anmerkung

Diese Option ist nur in der AWS Management Console verfügbar. Wenn Sie die CLI oder das SDK verwenden, verwenden Sie die von RDS Custom bereitgestellte CloudFormation Vorlage oder erstellen Sie manuell ein Instanzprofil. Weitere Informationen finden Sie unter Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils.

Schritt 1: Erteilen der erforderlichen Berechtigungen für Ihren IAM-Prinzipal

Stellen Sie sicher, dass Sie über den entsprechenden Zugriff zum Erstellen einer DB-Instance von RDS Custom verfügen. Die IAM-Rolle oder der IAM-Benutzer (als IAM-Prinzipal bezeichnet) zum Erstellen einer DB-Instance von RDS Custom für SQL Server mit der Konsole oder der CLI muss für eine erfolgreiche Erstellung der DB-Instance über eine der folgenden Richtlinien verfügen:

  • Die Richtlinie AdministratorAccess

  • Die folgende AmazonRDSFullAccess-Richtlinie zeigt die zusätzlichen Berechtigungen.

    iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging
s3:CreateBucket
s3:PutBucketPolicy
s3:PutBucketObjectLockConfiguration
s3:PutBucketVersioning 
kms:CreateGrant
kms:DescribeKey
kms:Decrypt
kms:ReEncryptFrom
kms:ReEncryptTo
kms:GenerateDataKeyWithoutPlaintext
kms:GenerateDataKey
ec2:DescribeImages
ec2:RunInstances
ec2:CreateTags

    RDS Custom verwendet diese Berechtigungen bei der Instance-Erstellung. Mit diesen Berechtigungen werden Ressourcen in Ihrem Konto konfiguriert, die für benutzerdefinierte RDS-Operationen erforderlich sind.

    Weitere Informationen zu kms:CreateGrant-Berechtigung finden Sie unter AWS KMS key-Verwaltung.

Die folgende Beispiel-JSON-Richtlinie gewährt die erforderlichen Berechtigungen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Der IAM-Prinzipal benötigt die folgenden zusätzlichen Berechtigungen, um mit benutzerdefinierten Engine-Versionen (CEVs) zu arbeiten:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfigureKmsKeyEncryptionPermission",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key_id"
        },
        {
            "Sid": "CreateEc2Instance",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:RunInstances",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

111122223333Ersetzen Sie es durch die ID des Kontos, mit dem Sie Ihre Instanz erstellen. Ersetzen us-east-1 AWS-Region Sie es durch die, mit der Sie Ihre Instanz erstellen. Ersetzen Sie key_id durch Ihre vom Kunden verwaltete Schlüssel-ID. Sie können bei Bedarf mehrere Schlüssel hinzufügen.

Weitere Informationen zu den Berechtigungen auf Ressourcenebene, die zum Starten einer EC2 Instance erforderlich sind, finden Sie unter Instanzen starten () RunInstances.

Außerdem erfordert der IAM-Prinzipal die iam:PassRole-Berechtigung für die IAM-Rolle. Diese muss an das Instance-Profil angehängt werden, das im custom-iam-instance-profile-Parameter in der Anforderung übergeben wird, um die RDS-Custom-DB-Instance zu erstellen. Das Instance-Profil und seine angehängte Rolle werden später in Schritt 2: Konfigurieren von Netzwerken, Instance-Profil und Verschlüsselung erstellt.

Anmerkung

Stellen Sie sicher, dass die zuvor aufgeführten Berechtigungen nicht durch Dienststeuerungsrichtlinien (SCPs), Berechtigungsgrenzen oder Sitzungsrichtlinien eingeschränkt werden, die dem IAM-Prinzipal zugeordnet sind.

Schritt 2: Konfigurieren von Netzwerken, Instance-Profil und Verschlüsselung

Sie können Ihre IAM-Instanzprofilrolle, Ihre Virtual Private Cloud (VPC) und Ihren AWS KMS symmetrischen Verschlüsselungsschlüssel mithilfe eines der folgenden Prozesse konfigurieren:

Anmerkung

Wenn Ihr Konto Teil eines Kontos ist AWS Organizations, stellen Sie sicher, dass die für die Instanzprofilrolle erforderlichen Berechtigungen nicht durch Dienststeuerungsrichtlinien () eingeschränkt werden. SCPs

Die Netzwerkkonfigurationen in diesem Thema funktionieren am besten mit DB-Instances, die nicht öffentlich zugänglich sind. Sie können sich nicht direkt von außerhalb der VPC mit den DB-Instances verbinden.

Konfiguration mit AWS CloudFormation

Um die Einrichtung zu vereinfachen, können Sie eine AWS CloudFormation Vorlagendatei verwenden, um einen CloudFormation Stapel zu erstellen. Eine CloudFormation Vorlage erstellt alle Netzwerk-, Instanzprofile und Verschlüsselungsressourcen gemäß den Anforderungen von RDS Custom.

Informationen zum Erstellen von Stacks finden Sie im AWS CloudFormation Benutzerhandbuch unter Erstellen eines Stacks auf der AWS CloudFormation Konsole.

Ein Tutorial zum Starten von Amazon RDS Custom for SQL Server mithilfe einer AWS CloudFormation Vorlage finden Sie unter Erste Schritte mit Amazon RDS Custom for SQL Server unter Verwendung einer AWS CloudFormation Vorlage im AWS Datenbank-Blog.

Parameter erforderlich von CloudFormation

Die folgenden Parameter sind erforderlich, um die erforderlichen Ressourcen für RDS Custom zu konfigurieren CloudFormation:

Parametergruppe Parametername Standardwert Description
Verfügbarkeitskonfiguration Verfügbarkeitskonfiguration für die Einrichtung der Voraussetzungen auswählen Multi-AZ Geben Sie an, ob Voraussetzungen in einer Single-AZ- oder Multi-AZ-Konfiguration für RDS-Custom-Instances eingerichtet werden sollen. Sie sollten die Multi-AZ-Konfiguration verwenden, wenn Sie in dieser Konfiguration mindestens eine DB-Instance mit Multi-AZ benötigen
Netzwerkkonfiguration IPv4 CIDR-Block für VPC 10.0.0.0/16

Geben Sie einen IPv4 CIDR-Block (oder IP-Adressbereich) für Ihre VPC an. Diese VPC ist so konfiguriert, dass sie eine DB-Instance von RDS Custom erstellt und mit ihr arbeitet.
IPv4 CIDR-Block für 1 von 2 privaten Subnetzen 10.0.128.0/20

Geben Sie einen IPv4 CIDR-Block (oder IP-Adressbereich) für Ihr erstes privates Subnetz an. Dies ist eines der beiden Subnetze, in denen die DB-Instance von RDS Custom erstellt werden kann. Dies ist ein privates Subnetz ohne Internetzugang.
IPv4 CIDR-Block für 2 von 2 privaten Subnetzen 10.0.144.0/20

Geben Sie einen IPv4 CIDR-Block (oder IP-Adressbereich) für Ihr zweites privates Subnetz an. Dies ist eines der beiden Subnetze, in denen die DB-Instance von RDS Custom erstellt werden kann. Dies ist ein privates Subnetz ohne Internetzugang.
IPv4 CIDR-Block für das öffentliche Subnetz 10.0.0.0/20

Geben Sie einen IPv4 CIDR-Block (oder IP-Adressbereich) für Ihr öffentliches Subnetz an. Dies ist eines der Subnetze, in denen die EC2 Instance eine Verbindung mit der RDS Custom DB-Instance herstellen kann. Dies ist ein öffentliches Subnetz mit Internetzugang.
RDP-Zugriffskonfiguration IPv4 CIDR-Block Ihrer Quelle

Geben Sie einen IPv4 CIDR-Block (oder IP-Adressbereich) Ihrer Quelle an. Dies ist der IP-Bereich, von dem aus Sie eine RDP-Verbindung zur EC2 Instanz im öffentlichen Subnetz herstellen. Wenn nicht festgelegt, ist die RDP-Verbindung zur EC2 Instanz nicht konfiguriert.
RDP-Zugriff auf die Instance von RDS Custom für SQL Server einrichten Nein

Geben Sie an, ob die RDP-Verbindung von der EC2 Instanz zur RDS Custom for SQL Server-Instanz aktiviert werden soll. Standardmäßig ist die RDP-Verbindung von der EC2 Instance zur DB-Instance nicht konfiguriert.

Wenn Sie den CloudFormation Stack erfolgreich mit den Standardeinstellungen erstellen, werden die folgenden Ressourcen in Ihrem erstellt AWS-Konto:

  • Symmetrischer KMS-Verschlüsselungsschlüssel zur Verschlüsselung von Daten, die von RDS Custom verwaltet werden.

  • Das Instance-Profil ist einer IAM-Rolle mit AmazonRDSCustomInstanceProfileRolePolicy zugeordnet, damit die für RDS Custom erforderlichen Berechtigungen gewährt werden. Weitere Informationen finden Sie unter Amazon RDSCustom ServiceRolePolicy im AWS Managed Policy Reference Guide.

  • VPC mit dem als Parameter angegebenen CIDR-Bereich. CloudFormation Der Standardwert ist 10.0.0.0/16.

  • Zwei private Subnetze mit dem in den Parametern angegebenen CIDR-Bereich und zwei verschiedene Availability Zones in der AWS-Region. Die Standardwerte für das Subnetz CIDRs sind und. 10.0.128.0/20 10.0.144.0/20

  • Ein öffentliches Subnetz mit dem in den Parametern angegebenen CIDR-Bereich. Der Standardwert für das Subnetz-CIDR ist 10.0.0.0/20. Die EC2 Instanz befindet sich in diesem Subnetz und kann verwendet werden, um eine Verbindung zur benutzerdefinierten RDS-Instance herzustellen.

  • Die DHCP-Option wurde für die VPC mit Domänennamenauflösung für einen Amazon-DNS-Server (Domain Name System) festgelegt.

  • Routing-Tabelle zur Verknüpfung mit zwei privaten Subnetzen und ohne Zugang zum Internet.

  • Routing-Tabelle zur Verknüpfung mit einem öffentlichen Subnetz und ohne Zugang zum Internet.

  • Mit der VPC verbundenes Internet-Gateway, um Internetzugang zum öffentlichen Subnetz zu ermöglichen.

  • Netzwerkzugriffssteuerungsliste (ACL), die mit zwei privaten Subnetzen verknüpft werden soll, und Zugriff, der innerhalb der VPC auf HTTPS und DB-Port beschränkt ist.

  • Die VPC-Sicherheitsgruppe, die der RDS-Custom-Instance zugeordnet werden soll. Der Zugriff ist für ausgehendes HTTPS auf AWS-Service Endpunkte beschränkt, die für RDS Custom erforderlich sind, und auf eingehende DB-Ports der Instance-Sicherheitsgruppe. EC2

  • VPC-Sicherheitsgruppe, die der EC2 Instance im öffentlichen Subnetz zugeordnet werden soll. Der Zugriff ist für den ausgehenden DB-Port auf die Sicherheitsgruppe der RDS-Custom-Instance beschränkt.

  • VPC-Sicherheitsgruppe, die VPC-Endpunkten zugeordnet werden soll, die für Endpoints erstellt wurden, die für AWS-Service RDS Custom erforderlich sind.

  • DB-Subnetzgruppe, in der RDS-Custom-Instances erstellt werden. Zwei private Subnetze, die mit dieser Vorlage erstellt wurden, werden der DB-Subnetzgruppe hinzugefügt.

  • VPC-Endpunkte für jeden der AWS-Service Endpunkte, die für RDS Custom erforderlich sind.

Wenn Sie die Verfügbarkeitskonfiguration auf Multi-AZ festlegen, werden zusätzlich zur obigen Liste folgende Ressourcen erstellt:

  • Netzwerk-ACL-Regeln, die die Kommunikation zwischen privaten Subnetzen ermöglichen.

  • Eingehender und ausgehender Zugriff auf Multi-AZ-Ports innerhalb der VPC-Sicherheitsgruppe, die der RDS-Custom-Instance zugeordnet ist.

  • VPC-Endpunkte zu AWS Service-Endpunkten, die für die Multi-AZ-Kommunikation erforderlich sind.

Wenn Sie die RDP-Zugriffskonfiguration festlegen, werden darüber hinaus die folgenden Ressourcen erstellt:

  • Konfigurieren des RDP-Zugriffs auf das öffentliche Subnetz von Ihrer Quell-IP-Adresse aus:

    • Netzwerk-ACL-Regeln, die eine RDP-Verbindung von Ihrer Quell-IP zum öffentlichen Subnetz ermöglichen.

    • Eingangszugriff auf den RDP-Port von Ihrer Quell-IP zur VPC-Sicherheitsgruppe, die der Instance zugeordnet ist. EC2

  • Konfiguration des RDP-Zugriffs von der EC2 Instanz im öffentlichen Subnetz zur benutzerdefinierten RDS-Instanz in privaten Subnetzen:

    • Netzwerk-ACL-Regeln, die eine RDP-Verbindung vom öffentlichen Subnetz zu privaten Subnetzen ermöglichen.

    • Eingehender Zugriff auf den RDP-Port von der VPC-Sicherheitsgruppe, die der EC2 Instance zugeordnet ist, zur VPC-Sicherheitsgruppe, die der benutzerdefinierten RDS-Instance zugeordnet ist.

Verwenden Sie die folgenden Verfahren, um den CloudFormation Stack für RDS Custom for SQL Server zu erstellen.

Laden Sie die AWS CloudFormation Vorlagendatei herunter

So laden Sie die Vorlagendatei herunter

  1. Öffnen Sie das Kontextmenü (Rechtsklick) für den Link ( custom-sqlserver-onboard.zip) und wählen Sie Link speichern unter.

  2. Speichern und extrahieren Sie die Datei auf Ihrem Computer.

Konfiguration von Ressourcen mit CloudFormation

Um Ressourcen zu konfigurieren mit CloudFormation

  1. Öffnen Sie die CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Starten Sie den Assistenten zum Erstellen von Stacks und wählen Sie Create Stack (Stack erstellen) aus.

    Die Seite Create stack (Stack erstellen) wird angezeigt.

  3. Wählen Sie für Voraussetzung - Vorlage vorbereiten die Option Vorlage ist bereit aus.

  4. Gehen Sie für Specify template (Vorlage angeben) wie folgt vor:

    1. Wählen Sie unter Templete source (Vorlagenquelle) den Wert Upload a template file (Vorlagendatei hochladen) aus.

    2. Navigieren Sie unter Datei auswählen zu der entsprechenden Datei und wählen Sie sie aus.

  5. Wählen Sie Weiter aus.

    Die Seite Specify DB Details (DB-Details angeben) wird angezeigt.

  6. Geben Sie unter Stack name (Stack-Name) rds-custom-sqlserver ein.

  7. Führen Sie für Parameters (Parameter) die folgenden Schritte aus:

    1. Wenn Sie die Standardoptionen beibehalten möchten, wählen Sie Next (Weiter) aus.

    2. Wenn Sie Optionen ändern möchten, wählen Sie die entsprechende Verfügbarkeitskonfiguration, Netzwerkkonfiguration und RDP-Zugriffskonfiguration aus und klicken dann auf Weiter.

      Lesen Sie die Beschreibung jedes Parameters sorgfältig durch, bevor Sie die Parameter ändern.

    Anmerkung

    Wenn Sie mindestens eine Multi-AZ-Instance in diesem CloudFormation Stack erstellen möchten, stellen Sie sicher, dass der CloudFormation Stack-Parameter Wählen Sie eine Verfügbarkeitskonfiguration für die Einrichtung der Voraussetzungen auf eingestellt ist. Multi-AZ Wenn Sie den CloudFormation Stack als Single-AZ-Konfiguration erstellen, aktualisieren Sie den CloudFormation Stack auf eine Multi-AZ-Konfiguration, bevor Sie die erste Multi-AZ-Instance erstellen.

  8. Wählen Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Next (Weiter) aus.

  9. Führen Sie auf der Seite Review (Überprüfen) rds-custom-sqlserver die folgenden Schritte aus:

    1. Aktivieren Sie unter Capabilities (Funktionen) das Kontrollkästchen I acknowledge that AWS CloudFormation , das bestätigt, dass IAM-Ressourcen mit benutzerdefinierten Namen erstellen kann.

    2. Wählen Sie Stack erstellen aus.

Anmerkung

Aktualisieren Sie die aus diesem AWS CloudFormation Stack erstellten Ressourcen nicht direkt von den Ressourcenseiten aus. Dadurch wird verhindert, dass Sie future Updates mithilfe einer AWS CloudFormation Vorlage auf diese Ressourcen anwenden.

CloudFormation erstellt die Ressourcen, die RDS Custom for SQL Server benötigt. Wenn die Stack-Erstellung fehlschlägt, rufen Sie die Seite Events (Ereignisse) auf, um zu sehen, welche Ressourcenerstellung mit welchem Statusgrund fehlgeschlagen.

Die Registerkarte Ausgaben für diesen CloudFormation Stack in der Konsole sollte Informationen über alle Ressourcen enthalten, die als Parameter für die Erstellung einer RDS Custom for SQL Server-DB-Instance übergeben werden müssen. Stellen Sie sicher, dass Sie die VPC-Sicherheitsgruppe und die DB-Subnetzgruppe verwenden, die von CloudFormation for RDS Custom DB-Instances erstellt wurden. Standardmäßig versucht RDS, die VPC-Standardsicherheitsgruppe anzuhängen, die möglicherweise nicht den benötigten Zugriff hat.

Wenn Sie früher CloudFormation Ressourcen erstellt haben, können Sie das überspringen. Manuelles Konfigurieren

Sie können auch einen Teil der Konfiguration auf dem CloudFormation Stack nach der Erstellung aktualisieren. Folgende Konfigurationen können aktualisiert werden:

  • Verfügbarkeitskonfiguration für RDS Custom für SQL Server

    • Verfügbarkeitskonfiguration für die Einrichtung der Voraussetzungen auswählen: Aktualisieren Sie diesen Parameter, um zwischen einer Single-AZ- und einer Multi-AZ-Konfiguration zu wechseln. Wenn Sie diesen CloudFormation Stack für mindestens eine Multi-AZ-Instance verwenden, müssen Sie den Stack aktualisieren, um die Multi-AZ-Konfiguration auszuwählen.

  • RDP-Zugriffskonfiguration für RDS Custom für SQL Server

    • IPv4 CIDR-Block Ihrer Quelle: Sie können den IPv4 CIDR-Block (oder den IP-Adressbereich) Ihrer Quelle aktualisieren, indem Sie diesen Parameter aktualisieren. Wenn Sie diesen Parameter leer lassen, wird die RDP-Zugriffskonfiguration aus Ihrem CIDR-Quellblock zum öffentlichen Subnetz entfernt.

    • RDP-Zugriff auf RDS Custom for SQL Server einrichten: Aktivieren oder deaktivieren Sie die RDP-Verbindung von der EC2 Instanz zur RDS Custom for SQL Server-Instanz.

Sie können den CloudFormation Stack löschen, nachdem Sie alle benutzerdefinierten RDS-Instances gelöscht haben, die Ressourcen aus dem Stack verwenden. RDS Custom verfolgt den CloudFormation Stack nicht und blockiert daher nicht das Löschen des Stacks, wenn es DB-Instances gibt, die Stack-Ressourcen verwenden. Stellen Sie beim Löschen des Stacks sicher, dass keine DB-Instances von RDS Custom die Stack-Ressourcen verwenden.

Anmerkung

Wenn Sie einen CloudFormation Stack löschen, werden alle vom Stack erstellten Ressourcen mit Ausnahme des KMS-Schlüssels gelöscht. Der KMS-Schlüssel wechselt in den Status „pending-deletion“ und wird nach 30 Tagen gelöscht. Um den KMS-Schlüssel zu behalten, führen Sie während der 30-tägigen Kulanzzeit einen CancelKeyDeletionVorgang durch.

Manuelles Konfigurieren

Wenn Sie Ressourcen manuell konfigurieren möchten, gehen Sie wie folgt vor.

Anmerkung

Um die Einrichtung zu vereinfachen, können Sie die AWS CloudFormation Vorlagendatei verwenden, um einen CloudFormation Stack zu erstellen, anstatt eine manuelle Konfiguration vorzunehmen. Weitere Informationen finden Sie unter Konfiguration mit AWS CloudFormation.

Sie können den auch verwenden AWS CLI , um diesen Abschnitt zu vervollständigen. In diesem Fall müssen Sie die aktuelle CLI herunterladen und installieren.

Stellen Sie sicher, dass Sie über einen symmetrischen AWS KMS Verschlüsselungsschlüssel verfügen

Für RDS Custom AWS KMS key ist eine symmetrische Verschlüsselung erforderlich. Wenn Sie eine DB-Instance von RDS Custom für SQL Server erstellen, müssen Sie die KMS-Schlüssel-ID als Parameter kms-key-id angeben. Weitere Informationen finden Sie unter Erstellen und Herstellen einer Verbindung mit einer DB-Instance für Amazon RDS Custom für SQL Server.

Ihnen stehen folgende Optionen zur Verfügung:

  • Wenn Sie bereits einen vom Kunden verwalteten KMS-Schlüssel in Ihrem haben AWS-Konto, können Sie ihn mit RDS Custom verwenden. Es sind keine weiteren Maßnahmen erforderlich.

  • Wenn Sie bereits einen kundenverwalteten symmetrischen KMS-Verschlüsselungsschlüssel für eine andere RDS-Custom-Engine erstellt haben, können Sie denselben KMS-Schlüssel wiederverwenden. Es sind keine weiteren Maßnahmen erforderlich.

  • Wenn Sie keinen vorhandenen kundenverwalteten symmetrischen KMS-Verschlüsselungsschlüssel in Ihrem Konto haben, erstellen Sie einen KMS-Schlüssel, indem Sie den Anweisungen unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch folgen.

  • Wenn Sie eine benutzerdefinierte CEV- oder RDS-DB-Instance erstellen und sich Ihr KMS-Schlüssel in einer anderen befindet AWS-Konto, stellen Sie sicher, dass Sie den AWS CLI verwenden. Sie können die AWS Konsole nicht mit kontoübergreifenden KMS-Schlüsseln verwenden.

Wichtig

RDS Custom unterstützt keine AWS verwalteten KMS-Schlüssel.

Stellen Sie sicher, dass Ihr symmetrischer Verschlüsselungsschlüssel Zugriff auf die kms:Decrypt und kms:GenerateDataKey -Operationen der AWS Identity and Access Management (IAM-) Rolle in Ihrem IAM-Instanzprofil gewährt. Wenn Sie einen neuen symmetrischen Verschlüsselungsschlüssel in Ihrem Konto haben, sind keine Änderungen erforderlich. Stellen Sie andernfalls sicher, dass die Richtlinie Ihres symmetrischen Verschlüsselungsschlüssels Zugriff auf diese Operationen erteilt.

Weitere Informationen finden Sie unter Schritt 4: Konfigurieren von IAM für RDS Custom für Oracle.

Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils

Sie können manuell ein Instance-Profil erstellen und es verwenden, um RDS-Custom-Instances zu starten. Wenn Sie planen, die Instanz in zu erstellen AWS Management Console, überspringen Sie diesen Abschnitt. Das AWS Management Console ermöglicht es Ihnen, ein Instance-Profil zu erstellen und an Ihre RDS Custom DB-Instances anzuhängen. Weitere Informationen finden Sie unter Automatisierte Erstellung von Instanzprofilen mit dem AWS Management Console.

Wenn Sie manuell ein Instance-Profil erstellen, geben Sie den Namen des Instance-Profils als Parameter custom-iam-instance-profile an Ihren CLI-Befehl create-db-instance weiter. RDS Custom verwendet die diesem Instance-Profil zugeordnete Rolle, um die Automatisierung zur Verwaltung der Instance auszuführen.

So erstellen Sie das IAM-Instance-Profil und IAM-Rollen für RDS Custom für SQL Server

  1. Erstellen Sie die IAM-Rolle mit einem Namen AWSRDSCustomSQLServerInstanceRole mit einer Vertrauensrichtlinie, die es Amazon ermöglicht, diese Rolle zu EC2 übernehmen.

  2. Fügen Sie die AWS verwaltete Richtlinie AmazonRDSCustomInstanceProfileRolePolicy zu AWSRDSCustomSQLServerInstanceRole hinzu.

  3. Erstellen Sie ein IAM-Instance-Profil für RDS Custom für SQL Server namens AWSRDSCustomSQLServerInstanceProfile.

  4. Fügen Sie dem Instance-Profil AWSRDSCustomSQLServerInstanceRole hinzu.

Erstellen Sie die AWSRDSCustom SQLServer InstanceRole IAM-Rolle

Im folgenden Beispiel wird eine AWSRDSCustomSQLServerInstanceRole-Rolle erstellt. Die Vertrauensrichtlinie ermöglicht es Amazon, die Rolle zu EC2 übernehmen.

aws iam create-role \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --assume-role-policy-document '{
        "Version": "2012-10-17",		 	 	 
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                  "Service": "ec2.amazonaws.com"
              }
            }
          ]
        }'
Fügen Sie eine Zugriffsrichtlinie hinzu zu AWSRDSCustom SQLServer InstanceRole

Um die erforderlichen Berechtigungen bereitzustellen, hängen Sie die AWS verwaltete Richtlinie AmazonRDSCustomInstanceProfileRolePolicy an anAWSRDSCustomSQLServerInstanceRole. AmazonRDSCustomInstanceProfileRolePolicyermöglicht benutzerdefinierten RDS-Instances das Senden und Empfangen von Nachrichten sowie das Ausführen verschiedener Automatisierungsaktionen.

Anmerkung

Stellen Sie sicher, dass die Berechtigungen in der Zugriffsrichtlinie nicht durch SCPs die mit der Instanzprofilrolle verbundenen Berechtigungsgrenzen eingeschränkt sind.

Im folgenden Beispiel wird der AWSRDSCustomSQLServerInstanceRole Rolle eine AWS verwaltete Richtlinie AmazonRDSCustomInstanceProfileRolePolicy zugewiesen.

aws iam attach-role-policy \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy
Erstellen Sie Ihr RDS Custom für SQL Server-Instance-Profil

Ein Instance-Profil ist ein Container, der eine einzelne IAM-Rolle enthält. RDS Custom verwendet das Instance-Profil, um die Rolle der Instance zu übergeben.

Wenn Sie die verwenden, AWS Management Console um eine Rolle für Amazon zu erstellen EC2, erstellt die Konsole automatisch ein Instance-Profil und weist diesem bei der Erstellung der Rolle denselben Namen zu. Erstellen Sie Ihr Instance-Profil wie folgt und benennen Sie es AWSRDSCustomSQLServerInstanceProfile.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile
Fügen Sie AWSRDSCustom SQLServer InstanceRole es Ihrem Instanzprofil RDS Custom for SQL Server hinzu

Fügen Sie die Rolle AWSRDSCustomInstanceRoleForRdsCustomInstance dem zuvor erstellten Profil AWSRDSCustomSQLServerInstanceProfile hinzu.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \
    --role-name AWSRDSCustomSQLServerInstanceRole

Konfigurieren Ihrer VPC manuell

Ihre benutzerdefinierte RDS-DB-Instance befindet sich in einer Virtual Private Cloud (VPC), die auf dem Amazon VPC-Service basiert, genau wie eine EC2 Amazon-Instance oder Amazon RDS-Instance. Sie stellen Ihre eigene VPC zur Verfügung und konfigurieren sie. Somit haben Sie die volle Kontrolle über Ihr Instance-Netzwerk-Setup.

RDS Custom sendet Kommunikation von Ihrer DB-Instance an andere AWS-Services. Stellen Sie sicher, dass von dem Subnetz aus, in dem Sie Ihre DB-Instance von RDS Custom erstellen, auf die folgenden Services zugegriffen werden kann:

  • Amazon CloudWatch (com.amazonaws.region.monitoring)

  • CloudWatch Amazon-Protokolle (com.amazonaws.region.logs)

  • CloudWatch Amazon-Veranstaltungen (com.amazonaws.region.events)

  • Amazon EC2 (com.amazonaws.region.ec2undcom.amazonaws.region.ec2messages)

  • Amazon EventBridge (com.amazonaws.region.events)

  • Amazon S3 (com.amazonaws.region.s3)

  • AWS Secrets Manager (com.amazonaws.region.secretsmanager)

  • AWS Systems Manager (com.amazonaws.region.ssmundcom.amazonaws.region.ssmmessages)

Beim Erstellen von Multi-AZ-Bereitstellungen

  • Amazon Simple Queue Service (com.amazonaws.region.sqs)

Wenn RDS Custom nicht mit den erforderlichen Services kommunizieren kann, veröffentlicht es die folgenden Ereignisse:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Um incompatible-network Fehler zu vermeiden, stellen Sie sicher, dass die VPC-Komponenten, die an der Kommunikation zwischen Ihrer RDS Custom DB-Instance beteiligt sind, die folgenden Anforderungen AWS-Services erfüllen:

  • Die DB-Instance kann ausgehende Verbindungen an Port 443 mit anderen AWS-Services herstellen.

  • Die VPC lässt eingehende Antworten auf Anfragen zu, die von Ihrer DB-Instance von RDS Custom stammen.

  • RDS Custom kann die Domain-Namen von Endpunkten für jeden AWS-Service korrekt auflösen.

Wenn Sie eine VPC bereits für eine andere DB-Engine von RDS Custom konfiguriert haben, können Sie diese VPC wiederverwenden und diesen Prozess überspringen.

Konfigurieren Sie Ihre VPC-Sicherheitsgruppen wie folgt:

Eine Sicherheitsgruppe dient als virtuelle Firewall für Ihre VPC-Instance zur Steuerung von ein- und ausgehendem Datenverkehr. Eine DB-Instance von RDS Custom verfügt über eine Sicherheitsgruppe, die an ihre Netzwerkschnittstelle angefügt ist und die Instance schützt. Stellen Sie sicher, dass Ihre Sicherheitsgruppe Datenverkehr zwischen RDS Custom und anderen AWS-Services über HTTPS zulässt. Sie übergeben diese Sicherheitsgruppe als Parameter vpc-security-group-ids in der Anfrage zur Instance-Erstellung.

So konfigurieren Sie Ihre Sicherheitsgruppe für RDS Custom

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Erlauben Sie RDS Custom, die Standardsicherheitsgruppe zu verwenden, oder erstellen Sie Ihre eigene Sicherheitsgruppe.

    Detaillierte Anweisungen finden Sie unter Ermöglichen des Zugriffs auf Ihre DB-Instance in der VPC durch Erstellen einer Sicherheitsgruppe.

  3. Stellen Sie sicher, dass Ihre Sicherheitsgruppe eingehende Verbindungen an Port 443 zulässt. RDS Custom benötigt diesen Port, um mit abhängigen AWS-Services zu kommunizieren.

  4. Wenn Sie eine private VPC mit VPC-Endpunkten verwenden, stellen Sie sicher, dass die mit der DB-Instance verbundene Sicherheitsgruppe ausgehende Verbindungen mit VPC-Endpunkten an Port 443 zulässt. Stellen Sie außerdem sicher, dass die mit dem VPC-Endpunkt verknüpfte Sicherheitsgruppe eingehende Verbindungen an Port 443 von der DB-Instance zulässt.

    Wenn eingehende Verbindungen nicht zulässig sind, kann die RDS-Custom-Instance keine Verbindung zu den Endpunkten AWS Systems Manager und EC2 Amazon-Endpunkten herstellen. Weitere Informationen finden Sie unter Erstellen eines Virtual-Private-Cloud-Endpunkts im AWS Systems Manager -Benutzerhandbuch.

  5. Stellen Sie bei Multi-AZ-Instances von RDS Custom für SQL Server sicher, dass die der DB-Instance zugeordnete Sicherheitsgruppe eingehende und ausgehende Verbindungen mit dieser Sicherheitsgruppe an Port 1120 zulässt. Dies ist für eine Peer-Host-Verbindung mit einer DB-Instance von RDS Custom für SQL Server mit Multi-AZ erforderlich.

Weitere Informationen zu VPC-Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon-VPC-Benutzerhandbuch.

Konfigurieren Sie Endpunkte für abhängige AWS-Services

Wir empfehlen Ihnen, Ihrer VPC Endpunkte für jeden Dienst mit den folgenden Anweisungen hinzuzufügen. Sie können jedoch jede Lösung verwenden, mit der Ihre VPC mit AWS Service-Endpunkten kommunizieren kann. Zum Beispiel können Sie Network Address Translation (NAT) oder AWS Direct Connect nutzen.

Um Endpunkte zu konfigurieren, für die RDS AWS-Services Custom funktioniert

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie in der Navigationsleiste mithilfe der Regionsauswahl AWS-Region Ihre Region aus.

  3. Wählen Sie im Navigationsbereich Endpunkte aus. Wählen Sie im Hauptnavigationsbereich Create Endpoint (Endpunkt erstellen).

  4. Wählen Sie für Service category (Servicekategorie) die Option AWS-Services aus.

  5. Für Service-Name wählen Sie den in der Tabelle angezeigten Endpunkt aus.

  6. Wählen Sie unter VPC Ihre VPC aus.

  7. Wählen Sie unter Subnetze ein Subnetz für jede Availability Zone aus, die eingeschlossen werden soll.

    Der VPC-Endpunkt kann sich über mehrere Availability Zones erstrecken. AWS erstellt eine elastic network interface für den VPC-Endpunkt in jedem Subnetz, das Sie auswählen. Jede Netzwerkschnittstelle weist einen Domain-Name-System(DNS)-Hostnamen und eine private IP-Adresse auf.

  8. Wählen Sie unter Security groups eine Sicherheitsgruppe aus oder erstellen Sie eine.

    Sie können mit Sicherheitsgruppen den Zugriff auf Ihren Endpunkt steuern, ähnlich wie bei der Verwendung einer Firewall. Stellen Sie sicher, dass die Sicherheitsgruppe eingehende Verbindungen von der DB-Instance an Port 443 zulässt. Weitere Informationen zu VPC-Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon VPC-Benutzerhandbuch.

  9. Optional können Sie eine Richtlinie an den VPC-Endpunkt anhängen. Endpunktrichtlinien können den Zugriff auf das steuern, AWS-Service zu dem Sie eine Verbindung herstellen. Die Standardrichtlinie erlaubt es, dass alle Anfragen den Endpunkt passieren. Wenn Sie eine benutzerdefinierte Richtlinie verwenden, stellen Sie sicher, dass Anfragen von der DB-Instance in der Richtlinie zulässig sind.

  10. Wählen Sie Endpunkt erstellen aus.

In der folgenden Tabelle wird erläutert, wie Sie die Liste der Endpunkte finden, die Ihre VPC für ausgehende Kommunikation benötigt.

Service Endpunkt-Format Hinweise und Links

AWS Systems Manager

Verwenden Sie die folgenden Endpunktformate:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Eine Liste aller Endpunkte in den einzelnen Regionen finden Sie unter AWS Systems Manager -Endpunkte und Kontingente im Allgemeine Amazon Web Services-Referenz.

AWS Secrets Manager

Verwenden Sie dabei das Endpunktformat secretsmanager.region.amazonaws.com.

Eine Liste aller Endpunkte in den einzelnen Regionen finden Sie unter AWS Secrets Manager -Endpunkte und Kontingente im Allgemeine Amazon Web Services-Referenz.

Amazon CloudWatch

Verwenden Sie die folgenden Endpunktformate:

  • Verwenden Sie für CloudWatch Metriken monitoring.region.amazonaws.com

  • Verwenden Sie für CloudWatch Ereignisse events.region.amazonaws.com

  • Verwenden Sie für CloudWatch Protokolle logs.region.amazonaws.com

 Eine Liste der Endpunkte in jeder Region finden Sie unter:

Amazon EC2

Verwenden Sie die folgenden Endpunktformate:

  • ec2.region.amazonaws.com

  • ec2messages.region.amazonaws.com

Eine vollständige Liste der Endpunkte in jeder Region finden Sie unter Endpunkte und Kontingente von Amazon Elastic Compute Cloud im Allgemeine Amazon Web Services-Referenz.

Amazon S3

Verwenden Sie dabei das Endpunktformat s3.region.amazonaws.com.

Eine vollständige Liste der Endpunkte in jeder Region finden Sie unter Endpunkte und Kontingente von Amazon Simple Storage Service im Allgemeine Amazon Web Services-Referenz.

Weitere Informationen zu Gateway-Endpunkten für Amazon S3 finden Sie unterEndpunkte für Amazon S3imEntwicklerhandbuch für Amazon VPCaus.

Informationen zum Erstellen eines Zugriffspunkts finden Sie unter Erstellen von Zugriffspunkten im Entwicklerhandbuch für Amazon VPC.

Weitere Informationen zum Erstellen eines Gateway-Endpunkts für Amazon S3 finden Sie unter Gateway-VPC-Endpunkte.

Amazon Simple Queue Service

 Verwenden Sie das Endpunktformat sqs.region.amazonaws.com. Eine vollständige Liste der Endpunkte in jeder Region finden Sie unter Endpunkte und Kontingente von Amazon Simple Storage Service.
Konfigurieren des Instance-Metadaten-Service

Stellen Sie folgendermaßen sicher, dass die EC2-Instance eine Verbindung zu herstellen kann:

  • Greifen Sie mit Instance Metadata Service Version 2 (IMDSv2) auf den Instance-Metadaten-Service zu.

  • Lassen Sie ausgehende Kommunikation über Port 80 (HTTP) zur IMDS-Link-IP-Adresse zu.

  • Fordern Sie http://169.254.169.254 Instanz-Metadaten über den IMDSv2 Link an.

Weitere Informationen finden Sie unter Verwendung IMDSv2 im EC2 Amazon-Benutzerhandbuch.

Instance-übergreifende Beschränkung

Wenn Sie mithilfe der oben genannten Schritte ein Instance-Profil erstellen, verwendet es die AWS verwaltete Richtlinie, AmazonRDSCustomInstanceProfileRolePolicy um RDS Custom die erforderlichen Berechtigungen bereitzustellen, sodass die Instance-Verwaltung und -Überwachung automatisiert werden kann. Die verwaltete Richtlinie stellt sicher, dass die Berechtigungen nur den Zugriff auf die Ressourcen ermöglichen, die RDS Custom für die Ausführung der Automatisierung benötigt. Wir empfehlen, die verwaltete Richtlinie zu verwenden, um neue Features zu unterstützen und Sicherheitsanforderungen zu erfüllen, die automatisch und ohne manuelles Eingreifen auf bestehende Instance-Profile angewendet werden. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: Amazon RDSCusto InstanceProfileRolePolicym.

Die von AmazonRDSCustomInstanceProfileRolePolicy verwaltete Richtlinie schränkt den kontoübergreifenden Zugriff des Instance-Profils ein, ermöglicht aber eventuell den Zugriff auf einige von RDS Custom verwaltete Ressourcen für RDS-Custom-Instances innerhalb desselben Kontos. Je nach Ihren Anforderungen können Sie Berechtigungsgrenzen verwenden, um den Instance-übergreifenden Zugriff weiter einzuschränken. Berechtigungsgrenzen definieren die maximalen Berechtigungen, die identitätsbasierte Richtlinien einer Entität erteilen können, gewährt jedoch keine Berechtigungen. Weitere Informationen finden Sie unter Auswerten von effektiven Berechtigungen mit Grenzen.

Die folgende Grenzrichtlinie schränkt beispielsweise die Rolle des Instance-Profils auf den Zugriff auf einen bestimmten AWS KMS Schlüssel ein und beschränkt den Zugriff auf von RDS Custom verwaltete Ressourcen auf Instances, die unterschiedliche AWS KMS Schlüssel verwenden.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyOtherKmsKeyAccess",
            "Effect": "Deny",
            "Action": "kms:*",
            "NotResource": "arn:aws:kms:us-east-1:111122223333:key/KMS_key_ID"
        }
    ]
}
Anmerkung

Stellen Sie sicher, dass die Berechtigungsgrenze keine Berechtigungen blockiert, die RDS Custom von AmazonRDSCustomInstanceProfileRolePolicy gewährt werden.