Configuración del entorno para Amazon RDS - Amazon Relational Database Service

Configuración del entorno para Amazon RDS

Esta página proporciona una guía completa para configurar Amazon Relational Database Service, lo que incluye la configuración de cuentas, la seguridad y la administración de recursos. Le explica los pasos esenciales para crear, administrar y proteger sus entornos de bases de datos de manera eficiente. Tanto si es la primera vez que utiliza Amazon RDS como si lo está configurando para cumplir requisitos específicos, estas secciones ayudan a garantizar que su configuración esté optimizada y siga las prácticas recomendadas.

Si ya tiene una cuenta de Cuenta de AWS, conoce los requisitos de Amazon RDS y prefiere usar los valores predeterminados para los grupos de seguridad de IAM y VPC, vaya directo a Introducción a Amazon RDS.

Registro en una Cuenta de AWS

Si no dispone de una Cuenta de AWS, siga estos pasos para crear una.

Procedimiento para registrarse en Cuenta de AWS
  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Al registrarse en una Cuenta de AWS, se crea un Usuario raíz de la cuenta de AWS. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS le enviará un email de confirmación cuando complete el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de registrarse para obtener una Cuenta de AWS, proteja su Usuario raíz de la cuenta de AWS, habilite AWS IAM Identity Center y cree un usuario administrativo para no utilizar el usuario raíz en las tareas cotidianas.

Protección de Usuario raíz de la cuenta de AWS
  1. Inicie sesión en AWS Management Console como propietario de la cuenta; para ello, elija Usuario raíz e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In.

  2. Active la autenticación multifactor (MFA) para el usuario raíz.

    Para obtener instrucciones, consulte Habilitación de un dispositivo MFA virtual para su usuario raíz de la Cuenta de AWS (consola) en la Guía del usuario de IAM.

Creación de un usuario con acceso administrativo
  1. Activar IAM Identity Center.

    Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

  2. En IAM Identity Center, conceda acceso administrativo a un usuario.

    Para ver un tutorial sobre cómo utilizar Directorio de IAM Identity Center como origen de identidad, consulte Configuración del acceso de los usuarios con el Directorio de IAM Identity Center predeterminado en la Guía del usuario de AWS IAM Identity Center.

Iniciar sesión como usuario con acceso de administrador
  • Para iniciar sesión con el usuario de IAM Identity Center, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario del IAM Identity Center, consulte Inicio de sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.

Concesión de acceso a usuarios adicionales
  1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

    Para conocer las instrucciones, consulte Create a permission set en la Guía del usuario de AWS IAM Identity Center.

  2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

    Para conocer las instrucciones, consulte Add groups en la Guía del usuario de AWS IAM Identity Center.

Conceder acceso programático

Los usuarios necesitan acceso programático si desean interactuar con AWS fuera de la AWS Management Console. La forma de conceder el acceso programático depende del tipo de usuario que acceda a AWS.

Para conceder acceso programático a los usuarios, seleccione una de las siguientes opciones.

¿Qué usuario necesita acceso programático? Para Mediante

Identidad del personal

(Usuarios administrados en el IAM Identity Center)

Utilice credenciales temporales para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK y las API de AWS.

Siga las instrucciones de la interfaz que desea utilizar:

IAM Utilice credenciales temporales para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK y las API de AWS. Siguiendo las instrucciones de Uso de credenciales temporales con recursos de AWS de la Guía del usuario de IAM.
IAM

(No recomendado)

Utilizar credenciales a largo plazo para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK o las API de AWS.

Siga las instrucciones de la interfaz que desea utilizar:

Determinar las necesidades

El componente básico de Amazon RDS es la instancia de base de datos. En una instancia de base de datos, usted crea sus bases de datos. Una instancia de base de datos proporciona una dirección de red llamada punto de enlace. Sus aplicaciones usarán este punto de enlace para conectarse a su instancia de base de datos. Al crear una instancia de base de datos, especifica detalles como el almacenamiento, la memoria, el motor de base de datos y la versión, la configuración de red, la seguridad y los periodos de mantenimiento. Controla el acceso de red a una instancia de base de datos mediante un grupo de seguridad.

Antes de crear una instancia de base de datos y un grupo de seguridad, debe conocer su instancia de base de datos y las necesidades de la red. Aquí se indican algunos aspectos importantes que se deben tener en cuenta:

  • Requisitos de recursos: ¿cuáles son los requisitos de memoria y de procesador para su aplicación o su servicio? Use esta configuración como ayuda para determinar la clase de instancia de base de datos que se usará. Para conocer las especificaciones de las clases de instancia de base de datos, consulte Clases de instancia de base de datos de .

  • VPC, subred y grupo de seguridad–: es muy probable que la instancia de base de datos se encuentre en una nube virtual privada (VPC). Para conectarse a su instancia de base de datos, debe configurar reglas de grupo de seguridad. Estas reglas se configuran de forma diferente según el tipo de VPC que utilice y cómo la utilice. Por ejemplo, puede utilizar: una VPC predeterminada o una VPC definida por el usuario.

    En la siguiente lista se describen las reglas de cada opción de VPC:

    • VPC predeterminada: si la cuenta de AWS tiene una VPC predeterminada en la región de AWS actual, esa VPC está configurada para admitir instancias de base de datos. Si especifica la VPC predeterminada al crear la instancia de base de datos, haga lo siguiente:

      • Asegúrese de crear un grupo de seguridad de VPC que autorice conexiones desde la aplicación o el servicio a la instancia de base de datos de Amazon RDS. Use la opción Security Group (Grupo de seguridad) de la consola de VPC o la AWS CLI para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 3: Crear un grupo de seguridad de VPC.

      • Especifique el grupo de subredes de base de datos predeterminado. Si se trata de la primera instancia de base de datos que ha creado en esta región de AWS, Amazon RDS crea el grupo de subred de base de datos predeterminado cuando crea la instancia de base de datos.

    • VPC definida por el usuario: si desea especificar una VPC definida por el usuario al crear una instancia de base de datos, tenga en cuenta lo siguiente:

      • Asegúrese de crear un grupo de seguridad de VPC que autorice conexiones desde la aplicación o el servicio a la instancia de base de datos de Amazon RDS. Use la opción Security Group (Grupo de seguridad) de la consola de VPC o la AWS CLI para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 3: Crear un grupo de seguridad de VPC.

      • La VPC debe cumplir ciertos requisitos para alojar instancias de base de datos, como tener al menos dos subredes, cada una en una zona de disponibilidad independiente. Para obtener información, consulte VPC de Amazon y Amazon RDS.

      • Asegúrese de que especifica un grupo de subredes de base de datos que defina qué subredes de esa VPC puede usar la instancia de base de datos. Para obtener información, consulte la sección DB subnet group (Grupo de subred de base de datos) de Uso de una instancia de base de datos en una VPC.

  • Alta disponibilidad: ¿necesita compatibilidad con conmutación por error? En Amazon RDS una implementación Multi-AZ crea una réplica de instancia de base de datos principal y una instancia de base de datos en espera secundaria en otra zona de disponibilidad para permitir la conmutación por error. Es recomendable usar implementaciones Multi-AZ para las cargas de trabajo de producción con el objeto de mantener una alta disponibilidad. Para fines de desarrollo y de pruebas, puede utilizar una implementación no Multi-AZ. Para obtener más información, consulte Configuración y administración de una implementación multi-AZ.

  • Políticas de IAM: ¿tiene la cuenta de AWS políticas que conceden los permisos necesarios para realizar operaciones de Amazon RDS? Si se conecta a AWS con credenciales de IAM, la cuenta de IAM debe tener políticas de IAM que concedan los permisos necesarios para realizar operaciones de Amazon RDS. Para obtener más información, consulte Administración de la identidad y el acceso en Amazon RDS.

  • Puertos abiertos: ¿en qué puerto TCP/IP escucha la base de datos? Los firewall de algunas empresas podrían bloquear las conexiones al puerto predeterminado para el motor de base de datos. Si el firewall de su compañía bloquea el puerto predeterminado, elija otro puerto para la nueva instancia de base de datos. Cuando crea una instancia de base de datos que escuche en un puerto especificado, puede cambiar el puerto modificando la instancia de base de datos.

  • Región de AWS: ¿en qué región de AWS desea que esté la base de datos? Tener la base de datos cerca de la aplicación o el servicio web puede reducir la latencia de la red. Para obtener más información, consulte Regiones, zonas de disponibilidad y Local Zones.

  • Subsistema de disco de base de datos: ¿cuáles son sus requisitos de almacenamiento? Amazon RDS proporciona tres tipos de almacenamiento:

    • Uso general (SSD)

    • IOPS aprovisionadas (PIOPS)

    • Magnético (también conocido como almacenamiento estándar)

    Para obtener más información acerca del almacenamiento de Amazon RDS, consulte Almacenamiento de instancias de base de datos de Amazon RDS.

Cuando tenga la información que necesita para crear el grupo de seguridad y la instancia de base de datos, vaya al siguiente paso.

Proporcionar acceso a la instancia de base de datos en la VPC mediante la creación de un grupo de seguridad

Los grupos de seguridad de VPC proporcionan acceso a las instancias de base de datos en una VPC. Actúan como firewall para la instancia de base de datos asociada, controlan el tráfico entrante y saliente a nivel de instancia de base de datos. Las instancias de base de datos se crean de manera predeterminada con un firewall y un grupo de seguridad predeterminado que protege la instancia de base de datos.

Para poder conectarse a la instancia de base de datos, debe agregar reglas a un grupo de seguridad que permitan conectarse. Use la información de red y de configuración para crear reglas que permitan el acceso a la instancia de base de datos.

Por ejemplo, supongamos que tiene una aplicación que accede a una base de datos en su instancia de base de datos en una VPC. En este caso, debe añadir una regla de TCP personalizada que especifique el rango de puertos y direcciones IP que la aplicación utiliza para obtener acceso a la base de datos. Si tiene una aplicación en una instancia Amazon EC2, puede usar el grupo de seguridad que configuró para la instancia Amazon EC2.

Puede configurar la conectividad entre una instancia de Amazon EC2 y una instancia de base de datos al crear la instancia de base de datos. Para obtener más información, consulte Configurar la conectividad de red automática con una instancia de EC2.

sugerencia

Puede configurar la conectividad de red entre una instancia de Amazon EC2 y una instancia de base de datos automáticamente al crear la instancia de base de datos. Para obtener más información, consulte Configurar la conectividad de red automática con una instancia de EC2.

Para obtener información sobre situaciones comunes del acceso a una instancia de base de datos, consulte Escenarios de acceso a una instancia de base de datos en una VPC.

Para crear un grupo de seguridad de VPC
  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

    nota

    Asegúrese de estar en la consola de VPC, no en la consola de RDS.

  2. En la esquina superior derecha de la AWS Management Console, elija la AWS región en la que desea crear el grupo de seguridad de VPC y la instancia de base de datos. En la lista de recursos de Amazon VPC para esa región de AWS, debería ver al menos una VPC y varias subredes. Si no es así, no tiene una VPC predeterminada en esa AWS región.

  3. En el panel de navegación, elija Security Groups.

  4. Seleccione Crear grupo de seguridad.

    Aparece la página Create security group (Crear grupo de seguridad).

  5. En Basic details (Detalles básicos), ingrese el Security group name (Nombre del grupo de seguridad) y la Description (Descripción). Para VPC, elija la VPC en la que desea crear su instancia de base de datos.

  6. En Inbound rules (Reglas de entrada), elija Add rule (Agregar regla).

    1. En Type (Tipo), elija Custom TCP (TCP personalizada).

    2. En Port range (Rango de puertos), escriba el valor de puerto que se va a utilizar para la instancia de base de datos.

    3. En Source (Origen), elija un nombre de grupo de seguridad o escriba el rango de direcciones IP (valor CIDR) desde donde accede a la instancia de base de datos. Si elige My IP (Mi IP), esto permite el acceso a la instancia de base de datos desde la dirección IP detectada en su navegador.

  7. Si necesita agregar más direcciones IP o distintos rangos de puertos, elija Add rule (Agregar regla) e ingrese la información de la regla.

  8. (Opcional) En Outbound rules (Reglas de salida), agregue reglas para el tráfico saliente. De forma predeterminada, se permite todo el tráfico de salida.

  9. Elija Create Security Group (Crear grupo de seguridad).

Puede usar el grupo de seguridad de VPC que acaba de crear como grupo de seguridad de la instancia de base de datos cuando la cree.

nota

Si se usa una VPC predeterminada, se crea un grupo de subredes predeterminado que abarca todas las subredes de la VPC. Al crear una instancia de base de datos, puede seleccionar la VPC predeterminada y usar default (valor predeterminado) para DB Subnet Group (Grupo de subred de base de datos).

Una vez que haya completado los requisitos de configuración, puede crear una instancia de base de datos con sus requisitos y grupo de seguridad. Para ello, siga las instrucciones que se indican en Creación de una instancia de base de datos de Amazon RDS. Para obtener información sobre cómo empezar a crear una instancia de base de datos que utiliza un motor de base de datos específico, consulte la documentación pertinente en la siguiente tabla.

nota

Si no puede conectarse a una instancia de base de datos después de crearla, consulte la información de solución de problemas en No puede conectarse a la instancia de base de datos de Amazon RDS.