Configuración de Amazon RDS - Amazon Relational Database Service

Configuración de Amazon RDS

Antes de usar Amazon Relational Database Service por primera vez, complete las siguientes tareas.

Si ya tiene una cuenta de AWS, conoce los requisitos de Amazon RDS y prefiere usar los valores predeterminados para los grupos de seguridad de IAM y VPC, vaya directo a Introducción a Amazon RDS.

Obtenga una Cuenta de AWS y las credenciales de usuario raíz

A fin de acceder a AWS, debe registrarse para crear una Cuenta de AWS.

Para registrarse en Cuenta de AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones en línea.

    Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Al registrar una Cuenta de AWS, se crea un usuario raíz de Cuenta de AWS. El usuario raíz tiene acceso a todos los recursos y Servicios de AWS de la cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario administrativo y utilice únicamente el usuario raíz para realizar las tareas que requieran acceso de usuario raíz.

AWS le enviará un email de confirmación luego de completar el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando My Account (Mi cuenta).

Crear un usuario de IAM

Si su cuenta ya incluye un usuario de IAM con permisos administrativos completos de AWS, puede saltarse esta sección.

Cuando se crea primero una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta.

importante

Recomendamos que no utilice el usuario raíz para las tareas cotidianas. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que este pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Referencia general de AWS.

Para crear un usuario administrador, elija una de las siguientes opciones.

Elegir una forma de administrar el administrador Para B También puede
En Centro de identidades de IAM

(Recomendado)

Use credenciales a corto plazo para acceder a AWS.

Esto se alinea con las prácticas recomendadas de seguridad. Para obtener información sobre las prácticas recomendadas, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.

Siga las instrucciones en Introducción en la Guía del usuario de AWS IAM Identity Center (successor to AWS Single Sign-On). Configure el acceso programático mediante Configuración de la AWS CLI para usar AWS IAM Identity Center (successor to AWS Single Sign-On) en la Guía del usuario de AWS Command Line Interface.
En IAM

(No recomendado)

Use credenciales a largo plazo para acceder a AWS. Siga las instrucciones en Creación del primer grupo de usuarios y usuario de administrador de IAM en la Guía del usuario de IAM. Configure el acceso programático mediante Administración de las claves de acceso de los usuarios de IAM en la Guía del usuario de IAM.

Inicie sesión como usuario de IAM.

Inicie sesión en la consola de IAM; para ello, elija IAM user (Usuario de IAM) y escriba su ID de Cuenta de AWS o el alias de la cuenta. En la siguiente página, ingrese su nombre de usuario y su contraseña de IAM.

nota

Para su comodidad, en la página de inicio de sesión de AWS se utiliza una cookie del navegador para recordar su nombre de usuario de IAM y la información de su cuenta. Si ya ha iniciado sesión como otro usuario, elija el enlace de inicio de sesión debajo del botón para volver a la página principal de inicio de sesión. Desde allí, puede ingresar su ID de Cuenta de AWS o su alias de cuenta, de modo que se lo redirija a la página de inicio de sesión del usuario de IAM y tenga acceso a su cuenta.

Crear claves de acceso para un usuario de IAM

Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta, que se utilizan para firmar las solicitudes de programación que se realizan a AWS. Si no tiene claves de acceso, puede crearlas desde la AWS Management Console. Como práctica recomendada, no utilice la clave de acceso del usuario raíz de la Cuenta de AWS para realizar cualquier tarea en la que no sea necesario. Por el contrario, crear un nuevo usuario de IAM administrador con claves de acceso para usted.

El único momento que puede ver o descargar la clave de acceso secreta es cuando crea las claves. No puede recuperarla más adelante. Sin embargo, puede crear nuevas claves de acceso en cualquier momento. Debe tener permisos para realizar las acciones IAM requeridas. Para obtener más información, consulte Permisos necesarios para acceder a los recursos de IAM en la Guía del usuario de IAM.

Crear claves de acceso para un usuario de IAM

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users (Usuarios).

  3. Elija el nombre del usuario cuyas claves de acceso que desee crear y, a continuación, elija la pestaña de Security credentials (Credenciales de seguridad).

  4. En la sección Access keys (Claves de acceso), haga clic en Create access key (Crear clave de acceso).

  5. Para ver el nuevo par de claves de acceso, elija Show (Mostrar). No podrá obtener acceso de nuevo a la clave de acceso secreta cuando este cuadro de diálogo se cierre. Sus credenciales tendrán el aspecto siguiente:

    • ID de clave de acceso: AKIAIOSFODNN7EXAMPLE

    • Clave de acceso secreta: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. Para descargar el par de claves, elija Download .csv file (Descargar archivo .csv). Almacene las claves en un lugar seguro. No podrá obtener acceso de nuevo a la clave de acceso secreta cuando este cuadro de diálogo se cierre.

    Mantenga las claves en secreto para proteger su Cuenta de AWS y no las envíe nunca por correo electrónico. No las comparta fuera de su organización, aunque reciba una petición que parezca provenir de AWS o Amazon.com. Nadie que represente legítimamente a Amazon pedirá nunca su clave secreta.

  7. Cuando descargue el archivo .csv, elija Close (Cerrar). Cuando cree una clave de acceso, el par de claves se activa de forma predeterminada y puede utilizar el par de inmediato.

Temas relacionados

Determinar las necesidades

El componente básico de Amazon RDS es la instancia de base de datos. En una instancia de base de datos, usted crea sus bases de datos. Una instancia de base de datos proporciona una dirección de red llamada punto de enlace. Sus aplicaciones usarán este punto de enlace para conectarse a su instancia de base de datos. Al crear una instancia de base de datos, especifica detalles como el almacenamiento, la memoria, el motor de base de datos y la versión, la configuración de red, la seguridad y los periodos de mantenimiento. Controla el acceso de red a una instancia de base de datos mediante un grupo de seguridad.

Antes de crear una instancia de base de datos y un grupo de seguridad, debe conocer su instancia de base de datos y las necesidades de la red. Aquí se indican algunos aspectos importantes que se deben tener en cuenta:

  • Requisitos de recursos: ¿cuáles son los requisitos de memoria y de procesador para su aplicación o su servicio? Use esta configuración como ayuda para determinar la clase de instancia de base de datos que se usará. Para conocer las especificaciones de las clases de instancia de base de datos, consulte Clases de instancia de base de datos .

  • VPC, subred y grupo de seguridad–: es muy probable que la instancia de base de datos se encuentre en una nube virtual privada (VPC). Para conectarse a su instancia de base de datos, debe configurar reglas de grupo de seguridad. Estas reglas se configuran de forma diferente según el tipo de VPC que utilice y cómo la utilice. Por ejemplo, puede utilizar: una VPC predeterminada o una VPC definida por el usuario.

    En la siguiente lista se describen las reglas de cada opción de VPC:

    • VPC predeterminada: si la cuenta de AWS tiene una VPC predeterminada en la región de AWS actual, esa VPC está configurada para admitir instancias de base de datos. Si especifica la VPC predeterminada al crear la instancia de base de datos, haga lo siguiente:

      • Asegúrese de crear un grupo de seguridad de VPC que autorice conexiones desde la aplicación o el servicio a la instancia de base de datos de Amazon RDS. Use la opción Security Group (Grupo de seguridad) de la consola de VPC o la AWS CLI para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 3: Crear un grupo de seguridad de la VPC.

      • Especifique el grupo de subredes de base de datos predeterminado. Si se trata de la primera instancia de base de datos que ha creado en esta región de AWS, Amazon RDS crea el grupo de subred de base de datos predeterminado cuando crea la instancia de base de datos.

    • VPC definida por el usuario: si desea especificar una VPC definida por el usuario al crear una instancia de base de datos, tenga en cuenta lo siguiente:

      • Asegúrese de crear un grupo de seguridad de VPC que autorice conexiones desde la aplicación o el servicio a la instancia de base de datos de Amazon RDS. Use la opción Security Group (Grupo de seguridad) de la consola de VPC o la AWS CLI para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 3: Crear un grupo de seguridad de la VPC.

      • La VPC debe cumplir ciertos requisitos para alojar instancias de base de datos, como tener al menos dos subredes, cada una en una zona de disponibilidad independiente. Para obtener información, consulte VPC de Amazon y Amazon RDS.

      • Asegúrese de que especifica un grupo de subredes de base de datos que defina qué subredes de esa VPC puede usar la instancia de base de datos. Para obtener información, consulte la sección DB subnet group (Grupo de subred de base de datos) de Uso de una instancia de base de datos en una VPC.

  • Alta disponibilidad: ¿necesita compatibilidad con conmutación por error? En Amazon RDS una implementación Multi-AZ crea una réplica de instancia de base de datos principal y una instancia de base de datos en espera secundaria en otra zona de disponibilidad para permitir la conmutación por error. Es recomendable usar implementaciones Multi-AZ para las cargas de trabajo de producción con el objeto de mantener una alta disponibilidad. Para fines de desarrollo y de pruebas, puede utilizar una implementación no Multi-AZ. Para obtener más información, consulte Implementaciones Multi-AZ para alta disponibilidad.

  • Políticas de IAM: ¿Tiene la cuenta de AWS políticas que conceden los permisos necesarios para realizar operaciones de Amazon RDS? Si se conecta a AWS con credenciales de IAM, la cuenta de IAM debe tener políticas de IAM que concedan los permisos necesarios para realizar operaciones de Amazon RDS. Para obtener más información, consulte Administración de la identidad y el acceso en Amazon RDS.

  • Puertos abiertos: ¿en qué puerto TCP/IP escucha la base de datos? Los firewalls de algunas compañías podrían bloquear las conexiones al puerto predeterminado para el motor de base de datos. Si el firewall de su compañía bloquea el puerto predeterminado, elija otro puerto para la nueva instancia de base de datos. Cuando crea una instancia de base de datos que escuche en un puerto especificado, puede cambiar el puerto modificando la instancia de base de datos.

  • Región de AWS: ¿en qué región de AWS desea que esté la base de datos? Tener la base de datos cerca de la aplicación o el servicio web puede reducir la latencia de la red. Para obtener más información, consulte Regiones, zonas de disponibilidad y Local Zones.

  • Subsistema de disco de base de datos: ¿Cuáles son sus requisitos de almacenamiento? Amazon RDS proporciona tres tipos de almacenamiento:

    • Magnético (almacenamiento estándar)

    • Uso general (SSD)

    • IOPS provisionadas (PIOPS)

    El almacenamiento magnético ofrece almacenamiento rentable que resulta idóneo para las aplicaciones con requisitos de E/S ligeros o por ráfagas. El almacenamiento de uso general basado en SSD, también denominado gp2, puede proporcionar un acceso más rápido que el almacenamiento basado en el disco. El almacenamiento de IOPS aprovisionadas está diseñado para satisfacer las necesidades de las cargas de trabajo con gran intensidad de E/S. El almacenamiento de IOPS provisionadas está diseñado para cargas de trabajo de bases de datos, que son sensibles al desempeño del almacenamiento y a la coherencia del rendimiento de las E/S de acceso aleatorio. Para obtener más información acerca del almacenamiento de Amazon RDS, consulte Almacenamiento de instancias de base de datos de Amazon RDS.

Cuando tenga la información que necesita para crear el grupo de seguridad y la instancia de base de datos, vaya al siguiente paso.

Proporcionar acceso a la instancia de base de datos en la VPC mediante la creación de un grupo de seguridad

Los grupos de seguridad de VPC proporcionan acceso a las instancias de base de datos en una VPC. Actúan como firewall para la instancia de base de datos asociada, controlan el tráfico entrante y saliente a nivel de instancia de base de datos. Las instancias de base de datos se crean de manera predeterminada con un firewall y un grupo de seguridad predeterminado que protege la instancia de base de datos.

Para poder conectarse a la instancia de base de datos, debe agregar reglas a un grupo de seguridad que permitan conectarse. Use la información de red y de configuración para crear reglas que permitan el acceso a la instancia de base de datos.

Por ejemplo, supongamos que tiene una aplicación que accede a una base de datos en su instancia de base de datos en una VPC. En este caso, debe añadir una regla de TCP personalizada que especifique el rango de puertos y direcciones IP que la aplicación utiliza para obtener acceso a la base de datos. Si tiene una aplicación en una instancia Amazon EC2, puede usar el grupo de seguridad que configuró para la instancia Amazon EC2.

Puede configurar la conectividad entre una instancia de Amazon EC2 y una instancia de base de datos al crear la instancia de base de datos. Para obtener más información, consulte Configurar la conectividad de red automática con una instancia de EC2 .

sugerencia

Puede configurar la conectividad de red entre una instancia de Amazon EC2 y una instancia de base de datos automáticamente al crear la instancia de base de datos. Para obtener más información, consulte Configurar la conectividad de red automática con una instancia de EC2 .

Para obtener información sobre situaciones comunes del acceso a una instancia de base de datos, consulte Situaciones para el acceso a una instancia de base de datos situada en una VPC.

Para crear un grupo de seguridad de VPC

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

    nota

    Asegúrese de estar en la consola de VPC, no en la consola de RDS.

  2. En la esquina superior derecha de la AWS Management Console, elija la AWS región en la que desea crear el grupo de seguridad de VPC y la instancia de base de datos. En la lista de recursos de Amazon VPC para esa región de AWS, debería ver al menos una VPC y varias subredes. Si no es así, no tiene una VPC predeterminada en esa AWS región.

  3. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  4. Elija Create Security Group (Crear grupo de seguridad).

    Aparece la página Create security group (Crear grupo de seguridad).

  5. En Basic details (Detalles básicos), ingrese el Security group name (Nombre del grupo de seguridad) y la Description (Descripción). Para VPC, elija la VPC en la que desea crear su instancia de base de datos.

  6. En Inbound rules (Reglas de entrada), elija Add rule (Agregar regla).

    1. En Type (Tipo), elija Custom TCP (TCP personalizada).

    2. En Port range (Rango de puertos), escriba el valor de puerto que se va a utilizar para la instancia de base de datos.

    3. En Source (Origen), elija un nombre de grupo de seguridad o escriba el rango de direcciones IP (valor CIDR) desde donde accede a la instancia de base de datos. Si elige My IP (Mi IP), esto permite el acceso a la instancia de base de datos desde la dirección IP detectada en su navegador.

  7. Si necesita agregar más direcciones IP o distintos rangos de puertos, elija Add rule (Agregar regla) e ingrese la información de la regla.

  8. (Opcional) En Outbound rules (Reglas de salida), agregue reglas para el tráfico saliente. De forma predeterminada, se permite todo el tráfico de salida.

  9. Elija Create Security Group (Crear grupo de seguridad).

Puede usar el grupo de seguridad de VPC que acaba de crear como grupo de seguridad de la instancia de base de datos cuando la cree.

nota

Si se usa una VPC predeterminada, se crea un grupo de subredes predeterminado que abarca todas las subredes de la VPC. Al crear una instancia de base de datos, puede seleccionar la VPC predeterminada y usar default (valor predeterminado) para DB Subnet Group (Grupo de subred de base de datos).

Una vez que haya completado los requisitos de configuración, puede crear una instancia de base de datos con sus requisitos y grupo de seguridad. Para ello, siga las instrucciones que se indican en Creación de una instancia de base de datos de Amazon RDS. Para obtener información sobre cómo empezar a crear una instancia de base de datos que utiliza un motor de base de datos específico, consulte la documentación pertinente en la siguiente tabla.

nota

Si no puede conectarse a una instancia de base de datos después de crearla, consulte la información de solución de problemas en No puede conectarse a la instancia de base de datos de Amazon RDS.