Configuración de Amazon RDS - Amazon Relational Database Service

Configuración de Amazon RDS

Antes de usar Amazon Relational Database Service por primera vez, complete las siguientes tareas:

Si ya tiene una cuenta de AWS, conoce los requisitos de Amazon RDS y prefiere usar los valores predeterminados para los grupos de seguridad de IAM y VPC, vaya directo a Introducción a Amazon RDS.

Inscripción en AWS

Cuando se registra en AWS, su cuenta de AWS se registra automáticamente en todos los servicios de AWS, incluido Amazon RDS. Solo se le cobrará por los servicios que utilice.

Con Amazon RDS, paga solo por los recursos que usa. Las instancias de base de datos de Amazon RDS que crea están activas (no se ejecutan en un entorno aislado). Deberá pagar las tarifas de uso estándar de Amazon RDS para cada instancia de base de datos hasta que finalice. Para obtener más información sobre las tarifas de uso de Amazon RDS, consulte la página del producto de Amazon RDS. Si es cliente nuevo de AWS, puede comenzar a usar Amazon RDS de forma gratuita. Para obtener más información, consulte el nivel gratuito de AWS.

Si ya tiene una AWS cuenta, vaya a la siguiente sección, Creación de un usuario de IAM.

Si no tiene una AWS cuenta, puede utilizar el siguiente procedimiento para crear una.

Para crear una nueva AWS cuenta

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones en línea.

    Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

Anote su número de cuenta de AWS porque lo necesitará en la siguiente tarea.

Creación de un usuario de IAM

Después de crear una cuenta de AWS y conectarse correctamente a la AWS Management Console, puede crear un usuario de AWS Identity and Access Management (IAM). En lugar de iniciar sesión con la cuenta de AWS raíz, recomendamos que utilice un usuario de IAM administrativo con Amazon RDS.

Una forma de hacerlo consiste en crear un nuevo usuario de IAM y concederle permisos de administrador. También puede añadir un usuario de IAM existente a un grupo de IAM con permisos administrativos de Amazon RDS. Luego, puede acceder a AWS desde una URL especial mediante las credenciales para el usuario de IAM.

Si se registró en AWS pero no ha creado un usuario de IAM para usted, puede crear uno con la consola de IAM.

Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores (consola)

  1. Inicie sesión en la consola de IAM como el propietario de la cuenta; para ello, elija Root user (Usuario raíz) e ingrese el email de su Cuenta de AWS . En la siguiente página, escriba su contraseña.

    nota

    Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAM Administrator como se indica a continuación y guardar de forma segura las credenciales del usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas de administración de servicios y de cuentas.

  2. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).

  3. En User name (Nombre de usuario), escriba Administrator.

  4. Seleccione la casilla de verificación situada junto a AWS Management Console access (Acceso a la consola). A continuación, seleccione Custom password (Contraseña personalizada) y luego escriba la nueva contraseña en el cuadro de texto.

  5. (Opcional) De forma predeterminada, AWS requiere al nuevo usuario que cree una nueva contraseña la primera vez que inicia sesión. Puede quitar la marca de selección de la casilla de verificación situada junto a User must create a new password at next sign-in (El usuario debe crear una nueva contraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseña después de iniciar sesión.

  6. Elija Next: Permissions.

  7. En Set permissions (Establecer persmisos), elija Add user to group (Añadir usuario a grupo).

  8. Elija Create group (Crear grupo).

  9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba Administrators.

  10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed - job function (Función de trabajo administrada por AWS) para filtrar el contenido de la tabla.

  11. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija Create group (Crear grupo).

    nota

    Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar los permisos AdministratorAccess para acceder a la consola de AWS Billing and Cost Management. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

  12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es necesario para ver el grupo en la lista.

  13. Elija Next: Tags (Siguiente: Etiquetas).

  14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en la guía del usuario de IAM.

  15. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario. Cuando esté listo para continuar, elija Create user (Crear usuario).

Puede usar este mismo proceso para crear más grupos y usuarios, y para otorgar a los usuarios acceso a los recursos de la Cuenta de AWS . Para obtener información acerca de cómo usar las políticas que restringen los permisos de los usuarios a recursos de AWS específicos, consulte Administración de accesos y Ejemplos de políticas.

Para iniciar sesión como un nuevo usuario de IAM, cierre antes la sesión en la AWS Management Console. A continuación, use la siguiente URL, donde your_aws_account_id es su número de cuenta de AWS sin los guiones. Por ejemplo, si el número de AWS cuenta es 1234-5678-9012, el ID de AWS cuenta es 123456789012.

https://your_aws_account_id.signin.aws.amazon.com/console/

Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, en la barra de navegación se mostrará "su_nombre_de_usuario @ su_id_de_cuenta_de_aws".

Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS, puede crear un alias de cuenta. Desde el panel de IAM, elija Customize (Personalizar) y escriba un alias, como el nombre de su empresa. Para iniciar sesión después de crear un alias de cuenta, use la siguiente dirección URL.

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de IAM y verifique el campo AWS Account Alias (Alias de cuenta de AWS) en el panel.

También puede crear claves de acceso para la AWS cuenta. Estas claves de acceso se pueden utilizar para acceder a AWS a través de AWS Command Line Interface (AWS CLI) o a través de la API de Amazon RDS. Para obtener más información, consulte Acceso programático, Instalación, actualización y desinstalación de la AWS CLI y la Referencia de la API de Amazon RDS.

Determinar las necesidades

El componente básico de Amazon RDS es la instancia de base de datos. En una instancia de base de datos, usted crea sus bases de datos. Una instancia de base de datos proporciona una dirección de red llamada punto de enlace. Sus aplicaciones usarán este punto de enlace para conectarse a su instancia de base de datos. Al crear una instancia de base de datos, especifica detalles como el almacenamiento, la memoria, el motor de base de datos y la versión, la configuración de red, la seguridad y los periodos de mantenimiento. Controla el acceso de red a una instancia de base de datos mediante un grupo de seguridad.

Antes de crear una instancia de base de datos y un grupo de seguridad, debe conocer su instancia de base de datos y las necesidades de la red. Aquí se indican algunos aspectos importantes que se deben tener en cuenta:

  • Requisitos de recursos: ¿cuáles son los requisitos de memoria y de procesador para su aplicación o su servicio? Use esta configuración como ayuda para determinar la clase de instancia de base de datos que se usará. Para conocer las especificaciones de las clases de instancia de base de datos, consulte Clases de instancia de base de datos .

  • VPC, subred y grupo de seguridad–: es muy probable que la instancia de base de datos se encuentre en una nube virtual privada (VPC). Para conectarse a su instancia de base de datos, debe configurar reglas de grupo de seguridad. Estas reglas se configuran de forma diferente según el tipo de VPC que utilice y cómo la utilice: en una VPC predeterminada o en una VPC definida por el usuario.

    En la siguiente lista se describen las reglas de cada opción de VPC:

    • VPC predeterminada: si la cuenta de AWS tiene una VPC predeterminada en la región de AWS actual, esa VPC está configurada para admitir instancias de base de datos. Si especifica la VPC predeterminada al crear la instancia de base de datos, haga lo siguiente:

      • Asegúrese de crear un grupo de seguridad de VPC que autorice conexiones desde la aplicación o el servicio a la instancia de base de datos de Amazon RDS. Use la opción Security Group (Grupo de seguridad) de la consola de VPC o la AWS CLI para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 4: crear un grupo de seguridad de VPC.

      • Especifique el grupo de subredes de base de datos predeterminado. Si se trata de la primera instancia de base de datos que ha creado en esta región de AWS, Amazon RDS crea el grupo de subred de base de datos predeterminado cuando crea la instancia de base de datos.

    • VPC definida por el usuario: si desea especificar una VPC definida por el usuario al crear una instancia de base de datos, tenga en cuenta lo siguiente:

      • Asegúrese de crear un grupo de seguridad de VPC que autorice conexiones desde la aplicación o el servicio a la instancia de base de datos de Amazon RDS. Use la opción Security Group (Grupo de seguridad) de la consola de VPC o la AWS CLI para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 4: crear un grupo de seguridad de VPC.

      • La VPC debe cumplir ciertos requisitos para alojar instancias de base de datos, como tener al menos dos subredes, cada una en una zona de disponibilidad independiente. Para obtener información, consulte VPC Amazon Virtual Private Cloud y Amazon RDS.

      • Asegúrese de que especifica un grupo de subredes de base de datos que defina qué subredes de esa VPC puede usar la instancia de base de datos. Para obtener información, consulte la sección DB subnet group (Grupo de subred de base de datos) de Uso de una instancia de base de datos en una VPC.

      nota

      Algunas cuentas heredadas no usan una VPC. Si va a obtener acceso a una nueva AWS región o es un nuevo usuario de RDS (después de 2013), es muy probable que cree una instancia de base de datos en una VPC. Para obtener más información, consulte Describe cómo determinar si se está utilizando la plataforma EC2-VPC o EC2-Classic..

  • Alta disponibilidad: ¿necesita compatibilidad con conmutación por error? En Amazon RDS una implementación Multi-AZ crea una réplica de instancia de base de datos principal y una instancia de base de datos en espera secundaria en otra zona de disponibilidad para permitir la conmutación por error. Es recomendable usar implementaciones Multi-AZ para las cargas de trabajo de producción con el objeto de mantener una alta disponibilidad. Para fines de desarrollo y de pruebas, puede utilizar una implementación no Multi-AZ. Para obtener más información, consulte Alta disponibilidad (Multi-AZ) para Amazon RDS.

  • Políticas de IAM: ¿Tiene la cuenta de AWS políticas que conceden los permisos necesarios para realizar operaciones de Amazon RDS? Si se conecta a AWS con credenciales de IAM, la cuenta de IAM debe tener políticas de IAM que concedan los permisos necesarios para realizar operaciones de Amazon RDS. Para obtener más información, consulte Identity and access management en Amazon RDS.

  • Puertos abiertos: ¿en qué puerto TCP/IP escucha la base de datos? Los firewalls de algunas compañías podrían bloquear las conexiones al puerto predeterminado para el motor de base de datos. Si el firewall de su compañía bloquea el puerto predeterminado, elija otro puerto para la nueva instancia de base de datos. Cuando crea una instancia de base de datos que escuche en un puerto especificado, puede cambiar el puerto modificando la instancia de base de datos.

  • Región de AWS: ¿en qué región de AWS desea que esté la base de datos? Tener la base de datos cerca de la aplicación o el servicio web puede reducir la latencia de la red. Para obtener más información, consulte Regiones, zonas de disponibilidad y Local Zones .

  • Subsistema de disco de base de datos: ¿Cuáles son sus requisitos de almacenamiento? Amazon RDS proporciona tres tipos de almacenamiento:

    • Magnético (almacenamiento estándar)

    • Uso general (SSD)

    • IOPS provisionadas (PIOPS)

    El almacenamiento magnético ofrece almacenamiento rentable que resulta idóneo para las aplicaciones con requisitos de E/S ligeros o por ráfagas. El almacenamiento de uso general basado en SSD, también denominado gp2, puede proporcionar un acceso más rápido que el almacenamiento basado en el disco. El almacenamiento de IOPS provisionadas está diseñado para satisfacer las necesidades de las cargas de trabajo con uso intensivo de operaciones de E/S, y en especial de las cargas de trabajo de bases de datos, que son sensibles al desempeño del almacenamiento y a la coherencia del rendimiento de las E/S de acceso aleatorio. Para obtener más información acerca del almacenamiento de Amazon RDS, consulte Almacenamiento de instancias de base de datos de Amazon RDS.

Cuando tenga la información que necesita para crear el grupo de seguridad y la instancia de base de datos, vaya al siguiente paso.

Proporcionar acceso a la instancia de base de datos en la VPC mediante la creación de un grupo de seguridad

Los grupos de seguridad de VPC proporcionan acceso a las instancias de base de datos en una VPC. Actúan como firewall para la instancia de base de datos asociada, controlan el tráfico entrante y saliente a nivel de instancia de base de datos. Las instancias de base de datos se crean de manera predeterminada con un firewall y un grupo de seguridad predeterminado que protege la instancia de base de datos.

Para poder conectarse a la instancia de base de datos, debe agregar reglas a un grupo de seguridad que permitan conectarse. Use la información de red y de configuración para crear reglas que permitan el acceso a la instancia de base de datos.

Por ejemplo, supongamos que tiene una aplicación que accede a una base de datos en su instancia de base de datos en una VPC. En este caso, debe añadir una regla de TCP personalizada que especifique el rango de puertos y direcciones IP que la aplicación utiliza para obtener acceso a la base de datos. Si tiene una aplicación en una instancia Amazon EC2, puede usar el grupo de seguridad que configuró para la instancia Amazon EC2.

Para obtener información sobre situaciones comunes del acceso a una instancia de base de datos, consulte Situaciones para el acceso a una instancia de base de datos situada en una VPC.

Para crear un grupo de seguridad de VPC

  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

    nota

    Asegúrese de estar en la consola de VPC, no en la consola de RDS.

  2. En la esquina superior derecha de la AWS Management Console, elija la AWS región en la que desea crear el grupo de seguridad de VPC y la instancia de base de datos. En la lista de recursos de Amazon VPC para esa región de AWS, debería ver al menos una VPC y varias subredes. Si no es así, no tiene una VPC predeterminada en esa AWS región.

  3. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  4. Elija Create Security Group (Crear grupo de seguridad).

    Aparece la página Create security group (Crear grupo de seguridad).

  5. En Basic details (Detalles básicos), ingrese el Security group name (Nombre del grupo de seguridad) y la Description (Descripción). Para VPC, elija la VPC en la que desea crear su instancia de base de datos.

  6. En Inbound rules (Reglas de entrada), elija Add rule (Agregar regla).

    1. En Type (Tipo), elija Custom TCP (TCP personalizada).

    2. En Port range (Rango de puertos), escriba el valor de puerto que se va a utilizar para la instancia de base de datos.

    3. En Source (Origen), elija un nombre de grupo de seguridad o escriba el rango de direcciones IP (valor CIDR) desde donde accede a la instancia de base de datos. Si elige My IP (Mi IP), esto permite el acceso a la instancia de base de datos desde la dirección IP detectada en su navegador.

  7. Si necesita agregar más direcciones IP o distintos rangos de puertos, elija Add rule (Agregar regla) e ingrese la información de la regla.

  8. (Opcional) En Outbound rules (Reglas de salida), agregue reglas para el tráfico saliente. De forma predeterminada, se permite todo el tráfico de salida.

  9. Elija Create Security Group (Crear grupo de seguridad).

Puede usar el grupo de seguridad de VPC que acaba de crear como grupo de seguridad de la instancia de base de datos cuando la cree.

nota

Si se usa una VPC predeterminada, se crea un grupo de subredes predeterminado que abarca todas las subredes de la VPC. Al crear una instancia de base de datos, puede seleccionar la VPC predeterminada y usar default (valor predeterminado) para DB Subnet Group (Grupo de subred de base de datos).

Una vez que haya completado los requisitos de configuración, puede crear una instancia de base de datos con los requisitos y el grupo de seguridad mediante las instrucciones de Creación de una instancia de base de datos de Amazon RDS. Para obtener información sobre cómo empezar a crear una instancia de base de datos que utiliza un motor de base de datos específico, consulte la documentación pertinente en la siguiente tabla.

nota

Si no puede conectarse a una instancia de base de datos después de crearla, consulte la información de solución de problemas en No puede conectarse a la instancia de base de datos de Amazon RDS.