Configuración de Amazon RDS - Amazon Relational Database Service

Configuración de Amazon RDS

Complete las tareas de esta sección para configurar Amazon Relational Database Service (Amazon RDS) por primera vez. Si ya tiene una cuenta de AWS, conoce los requisitos de Amazon RDS y prefiere usar los valores predeterminados de los grupos de seguridad de IAM y VPC, puede ir a Introducción.

Un par de cosas que debe saber sobre Amazon Web Services (AWS):

  • Al inscribirse en AWS, su cuenta de AWS obtiene acceso automáticamente a todos los servicios de AWS, incluido Amazon RDS. No obstante, solo se le cobrará por los servicios que utilice.

  • Con Amazon RDS, paga solo por las instancias de RDS que están activas. La instancia de base de datos de Amazon RDS que crea se ejecuta en un entorno real (no en un entorno de pruebas). Deberá pagar las tarifas de uso estándar de Amazon RDS para la instancia hasta que la elimine. Para obtener más información sobre las tarifas de uso de Amazon RDS, consulte la página del producto de Amazon RDS.

Suscríbase a AWS

Si ya dispone de una cuenta de AWS, pase a la siguiente sección, Creación de un usuario de IAM.

Si no dispone de una cuenta de AWS, puede utilizar el procedimiento a continuación para crear una. Si es un nuevo cliente de AWS, puede comenzar a utilizar Amazon RDS de forma gratuita. Para obtener más información, consulte Capa de uso gratuita de AWS.

Para crear una nueva cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones en línea.

    Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

Creación de un usuario de IAM

Después de crear una cuenta de AWS y conectarse correctamente a la Consola de administración de AWS, puede crear un usuario de AWS Identity and Access Management (IAM). En lugar de iniciar sesión con su cuenta raíz de AWS, recomendamos que utilice un usuario administrativo de IAM con Amazon RDS.

Una forma de hacerlo consiste en crear un nuevo usuario de IAM y concederle permisos de administrador. También puede añadir un usuario de IAM existente a un grupo de IAM con permisos administrativos de Amazon RDS. A continuación, puede acceder a AWS desde una dirección URL especial con las credenciales del usuario de IAM.

Si se ha inscrito en AWS, pero no ha creado un usuario de IAM para usted, puede crearlo en la consola de IAM.

Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores (consola)

  1. Inicie sesión en la consola de IAM como el propietario de la cuenta; para ello, elija usuario raíz y escriba su dirección de correo electrónico de la cuenta de AWS. En la siguiente página, escriba su contraseña.

    nota

    Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAM Administrator como se indica a continuación y guardar de forma segura las credenciales de usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas de administración de servicios y de cuentas.

  2. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).

  3. En User name (Nombre de usuario), escriba Administrator.

  4. Marque la casilla situada junto a Consola de administración de AWS access (Acceso a la Consola de administración de AWS). A continuación, seleccione Custom password (Contraseña personalizada) y luego escriba la nueva contraseña en el cuadro de texto.

  5. (Opcional) De forma predeterminada, AWS requiere al nuevo usuario que cree una nueva contraseña la primera vez que inicia sesión. Puede quitar la marca de selección de la casilla de verificación situada junto a User must create a new password at next sign-in (El usuario debe crear una nueva contraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseña después de iniciar sesión.

  6. Elija Next: Permissions.

  7. En Set permissions (Establecer persmisos), elija Add user to group (Añadir usuario a grupo).

  8. Elija Create group (Crear grupo).

  9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba Administrators.

  10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed -job function (Función de trabajo administrada por AWS) para filtrar el contenido de la tabla.

  11. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija Create group (Crear grupo).

    nota

    Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar la los permisos AdministratorAccess para el acceso a la consola de AWS Billing and Cost Management. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

  12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es necesario para ver el grupo en la lista.

  13. Elija Next: Tags (Siguiente: Etiquetas).

  14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en la Guía del usuario de IAM.

  15. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario. Cuando esté listo para continuar, elija Create user (Crear usuario).

Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios acceso a los recursos de la cuenta de AWS. Para obtener información sobre cómo usar las políticas que restringen los permisos de los usuarios a recursos de AWS específicos, consulte Administración de acceso y Políticas de ejemplo.

Para iniciar sesión como un nuevo usuario de IAM, cierre antes la sesión en la Consola de administración de AWS. A continuación, use la URL siguiente, donde su_id_de_cuenta_de_aws es su número de cuenta de AWS sin guiones. Por ejemplo, si el número de cuenta de AWS es 1234-5678-9012, su ID de cuenta de AWS es 123456789012.

https://your_aws_account_id.signin.aws.amazon.com/console/

Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, en la barra de navegación se mostrará "su_nombre_de_usuario @ su_id_de_cuenta_de_aws".

Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS, puede crear un alias de cuenta. Desde el panel de IAM, elija Customize (Personalizar) y escriba un alias, como el nombre de su empresa. Para iniciar sesión después de crear un alias de cuenta, use la siguiente dirección URL.

https://your_account_alias.signin.aws.amazon.com/console/

Para comprobar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de IAM y compruebe el campo AWS Account Alias (Alias de cuenta de AWS) en el panel.

También puede crear claves de acceso para su cuenta de AWS. Estas claves de acceso se pueden usar para obtener acceso a AWS con la AWS Command Line Interface (AWS CLI) o la API de Amazon RDS. Para obtener más información, consulte Acceso programático, Instalación de la AWS CLI, y Referencia de API de Amazon RDS.

Determinar las necesidades

El componente básico de Amazon RDS es la instancia de base de datos. En una instancia de base de datos, usted crea sus bases de datos. Una instancia de base de datos proporciona una dirección de red llamada punto de enlace. Sus aplicaciones usarán este punto de enlace para conectarse a su instancia de base de datos. Al crear una instancia de base de datos, especifica detalles como el almacenamiento, la memoria, el motor de base de datos y la versión, la configuración de red, la seguridad y los periodos de mantenimiento. Controla el acceso de red a una instancia de base de datos mediante un grupo de seguridad.

Antes de crear una instancia de base de datos y un grupo de seguridad, debe conocer su instancia de base de datos y las necesidades de la red. Aquí se indican algunos aspectos importantes que se deben tener en cuenta:

  • Requisitos de recursos: ¿cuáles son los requisitos de memoria y de procesador para su aplicación o su servicio? Use esta configuración como ayuda para determinar la clase de instancia de base de datos que se usará. Para conocer las especificaciones de las clases de instancia de base de datos, consulte Clases de instancia de base de datos.

  • VPC, subred y grupo de seguridad: es muy probable que su instancia de base de datos se encuentre en una nube virtual privada (VPC). Para conectarse a su instancia de base de datos, debe configurar reglas de grupo de seguridad. Estas reglas se configuran de modo distinto en función del tipo de VPC que use y del modo en que lo use: en una VPC predeterminada, en una VPC definida por el usuario o fuera de una VPC.

    nota

    Algunas cuentas heredadas no usan una VPC. Si va a obtener acceso a una nueva región de AWS o es un nuevo usuario de RDS (después de 2013), es muy probable que cree una instancia de base de datos en una VPC.

    Para obtener información sobre cómo determinar si la cuenta tiene una VPC predeterminada en una región de AWS concreta, consulte Describe cómo determinar si se está utilizando la plataforma EC2-VPC o EC2-Classic..

    En la siguiente lista se describen las reglas de cada opción de VPC:

    • VPC predeterminada: si su cuenta de AWS tiene una VPC predeterminada en la región de AWS actual, esa VPC se configura de modo que sea compatible con las instancias de base de datos. Si especifica la VPC predeterminada al crear la instancia de base de datos, haga lo siguiente:

      • Cree un grupo de seguridad de VPC que autorice las conexiones desde la aplicación o el servicio a la instancia de base de datos de Amazon RDS con la base de datos. Utilice la API de Amazon EC2 o la opción Security Group (Grupo de seguridad) de la consola de VPC para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 4: crear un grupo de seguridad de VPC.

      • Especifique el grupo de subredes de base de datos predeterminado. Si esta es la primera instancia de base de datos que ha creado en la región de AWS, Amazon RDS crea el grupo de subredes de base de datos predeterminado cuando cree la instancia de base de datos.

    • VPC definida por el usuario: si desea especificar una VPC definida por el usuario al crear una instancia de base de datos, tenga en cuenta lo siguiente:

      • Asegúrese de que crea un grupo de seguridad de VPC que autorice las conexiones desde la aplicación o el servicio a la instancia de base de datos de Amazon RDS con la base de datos. Utilice la API de Amazon EC2 o la opción Security Group (Grupo de seguridad) de la consola de VPC para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 4: crear un grupo de seguridad de VPC.

      • La VPC debe cumplir algunos requisitos para alojar las instancias de base de datos, como tener al menos dos subredes, cada una en una zona de disponibilidad diferente. Para obtener información, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

      • Asegúrese de que especifica un grupo de subredes de base de datos que defina qué subredes de esa VPC puede usar la instancia de base de datos. Para obtener información, consulte la sección DB subnet group (Grupo de subred de base de datos) de Uso de una instancia de base de datos en una VPC.

    • Sin VPC: si su cuenta de AWS no tiene una VPC predeterminada y no especifica una VPC definida por el usuario cree un grupo de seguridad de base de datos. Un grupo de seguridad de base de datos autoriza las conexiones desde los dispositivos y las instancias de Amazon RDS en los que se ejecutan las aplicaciones o utilidades para obtener acceso a las bases de datos de la instancia de base de datos. Para obtener más información, consulte Uso de grupos de seguridad de base de datos (plataforma EC2-Classic).

  • Alta disponibilidad: ¿necesita compatibilidad con conmutación por error? En Amazon RDS una implementación Multi-AZ crea una réplica de instancia de base de datos principal y una instancia de base de datos en espera secundaria en otra zona de disponibilidad para permitir la conmutación por error. Es recomendable usar implementaciones Multi-AZ para las cargas de trabajo de producción con el objeto de mantener una alta disponibilidad. Para fines de desarrollo y de pruebas, puede utilizar una implementación no Multi-AZ. Para obtener más información, consulte Alta disponibilidad (Multi-AZ) para Amazon RDS.

  • Políticas de IAM: ¿tiene su cuenta de AWS políticas que concedan los permisos necesarios para realizar las operaciones de Amazon RDS? Si se conecta a AWS con credenciales de IAM, la cuenta de IAM debe tener políticas de IAM que otorguen los permisos necesarios para realizar operaciones de Amazon RDS. Para obtener más información, consulte Administración de identidades y accesos en Amazon RDS.

  • Puertos abiertos: ¿en qué puerto TCP/IP escucha la base de datos? Los firewalls de algunas compañías podrían bloquear las conexiones al puerto predeterminado para el motor de base de datos. Si el firewall de su compañía bloquea el puerto predeterminado, elija otro puerto para la nueva instancia de base de datos. Cuando crea una instancia de base de datos que escuche en un puerto especificado, puede cambiar el puerto modificando la instancia de base de datos.

  • Región de AWS: ¿en qué región de AWS desea que esté su base de datos? Tener la base de datos cerca de la aplicación o el servicio web puede reducir la latencia de la red.

  • Subsistema de disco de base de datos: ¿cuáles son sus requisitos de almacenamiento? Amazon RDS proporciona tres tipos de almacenamiento:

    • Magnético (almacenamiento estándar)

    • Uso general (SSD)

    • IOPS provisionadas (PIOPS)

    El almacenamiento magnético ofrece almacenamiento rentable que resulta idóneo para las aplicaciones con requisitos de E/S ligeros o por ráfagas. El almacenamiento de uso general basado en SSD, también denominado gp2, puede proporcionar un acceso más rápido que el almacenamiento basado en el disco. El almacenamiento de IOPS provisionadas está diseñado para satisfacer las necesidades de las cargas de trabajo con uso intensivo de operaciones de E/S, y en especial de las cargas de trabajo de bases de datos, que son sensibles al desempeño del almacenamiento y a la coherencia del rendimiento de las E/S de acceso aleatorio. Para obtener más información acerca del almacenamiento de Amazon RDS, consulte Almacenamiento de instancias de base de datos de Amazon RDS.

Cuando tenga la información que necesita para crear el grupo de seguridad y la instancia de base de datos, vaya al siguiente paso.

Proporcionar acceso a la instancia de base de datos en la VPC mediante la creación de un grupo de seguridad

Los grupos de seguridad de VPC proporcionan acceso a las instancias de base de datos en una VPC. Actúan como firewall para la instancia de base de datos asociada y controlan el tráfico entrante y saliente en el nivel de la instancia. Las instancias de base de datos se crean de manera predeterminada con un firewall y un grupo de seguridad predeterminado que protege la instancia de base de datos.

Para poder conectarse a su instancia de base de datos, debe agregar reglas a un grupo de seguridad que le permita conectarse. Use la información de red y de configuración para crear reglas que permitan el acceso a la instancia de base de datos.

nota

Si la instancia de base de datos heredada se creó antes de marzo de 2013 y no está en una VPC, puede que no tenga grupos de seguridad asociados. Si su instancia de base de datos se creó después de esta fecha, puede estar en una VPC predeterminada.

Por ejemplo, supongamos que tiene una aplicación que accede a una base de datos en su instancia de base de datos en una VPC. En este caso, debe añadir una regla de TCP personalizada que especifique el rango de puertos y direcciones IP que la aplicación utiliza para obtener acceso a la base de datos. Si tiene una aplicación en una instancia Amazon EC2, puede usar el grupo de seguridad que configuró para la instancia Amazon EC2.

Para crear un grupo de seguridad de VPC

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

  2. En la esquina superior derecha de la Consola de administración de AWS, elija la región de AWS en la que desea crear el grupo de seguridad de VPC y la instancia de base de datos. En la lista de recursos de Amazon VPC para esa región de AWS debería ver al menos una VPC y varias subredes. Si no es así, no tiene una VPC predeterminada en esa región de AWS.

  3. En el panel de navegación, elija Security Groups.

  4. Elija Create Security Group.

  5. En la ventana Create Security Group (Crear grupo de seguridad), escriba los valores de Name tag (Etiqueta del nombre), Group name (Nombre del grupo) y Description (Descripción) correspondientes a su grupo de seguridad. Para VPC, elija la VPC en la que desea crear su instancia de base de datos. Elija Yes, Create.

  6. El grupo de seguridad de VPC que ha creado debería seguir seleccionado. Si no es así, localícelo en la lista y elíjalo. El panel de detalles de la parte inferior de la ventana de la consola muestra los detalles del grupo de seguridad, junto con pestañas que permiten trabajar con las reglas de entrada y salida. Elija la pestaña Inbound Rules (Reglas entrantes).

  7. En la pestaña Inbound Rules, elija Edit.

    1. En Type, elija Custom TCP Rule.

    2. Escriba el valor que usará para la instancia de base de datos para Port Range (Intervalo de puertos).

    3. Para Source (Fuente), elija un nombre de grupo de seguridad o escriba el intervalo de direcciones IP (valor de CIDR) desde el que obtendrá acceso a la instancia. Si elige My IP (Mi IP), esto permite el acceso a la instancia de base de datos desde la dirección IP detectada en su navegador.

  8. Si necesita añadir más direcciones IP o diferentes rangos de puertos, elija Add another rule (Añadir otra regla).

  9. (Opcional) Utilice la pestaña Outbound Rules para añadir reglas para el tráfico saliente. De forma predeterminada, se permite todo el tráfico de salida.

Puede usar el grupo de seguridad de VPC que acaba de crear como grupo de seguridad de la instancia de base de datos cuando la cree. Si la distancia de base de datos no va a estar en una VPC, consulte Uso de grupos de seguridad de base de datos (plataforma EC2-Classic) para crear un grupo de seguridad de base de datos que se usará al crear la instancia de base de datos.

nota

Si se usa una VPC predeterminada, se crea un grupo de subredes predeterminado que abarca todas las subredes de la VPC. Al crear una instancia de base de datos, puede seleccionar la VPC predeterminada y usar default (valor predeterminado) para DB Subnet Group (Grupo de subred de base de datos).

Una vez que haya completado los requisitos de configuración, puede lanzar una instancia de base de datos con sus requisitos y grupo de seguridad. Para obtener información acerca de la creación de una instancia de base de datos, consulte la documentación relacionada en la siguiente tabla.

nota

Si no puede conectarse a una instancia de base de datos después de crearla, consulte la información de solución de problemas en No puede conectarse a la instancia de base de datos de Amazon RDS.