Configuración del entorno para Amazon RDS Custom for SQL Server

Antes de crear y administrar una instancia de base de datos para la instancia de base de datos de Amazon RDS Custom for SQL Server, asegúrese de realizar las siguientes tareas.

Contenido

• Requisitos previos para configurar RDS Custom for SQL Server
  • Creación automática de perfiles de instancias mediante la AWS Management Console
• Paseo 1: concesión de los permisos necesarios a la entidad principal de IAM
• Paso 2: configuración de la red, perfil de instancia y cifrado
  • Configuración con AWS CloudFormation
    • Parámetros requeridos por CloudFormation
    • Descarga del archivo de plantilla AWS CloudFormation
    • Configuración de recursos mediante CloudFormation
  • Configuración manual
    • Asegúrese de que tiene una clave de cifrado simétrica AWS KMS
    • Creación manual del Rol de IAM y el perfil de instancias
      • Creación del Rol de IAM de AWSRDSCustomSQLServerInstanceRole
      • Agregar una política de acceso a AWSRDSCustomSQLServerInstanceRole
      • Cree su perfil de instancias de RDS Custom for SQL Server
      • Agregue AWSRDSCustomSQLServerInstanceRole a su perfil de instancias de RDS Custom for SQL Server
    • Configuración manual de la VPC
      • Configure los grupos de seguridad de la VPC
      • Configuración de puntos de conexión para los Servicios de AWS dependientes
      • Configurar el servicio de metadatos de instancia
• Restricciones entre instancias

nota

Para ver un tutorial paso a paso sobre cómo configurar los requisitos previos e iniciar Amazon RDS Custom para SQL Server, consulte Get started with Amazon RDS Custom for SQL Server using an CloudFormation template (Network setup) y Explore the prerequisites required to create an Amazon RDS Custom for SQL Server instance.

Requisitos previos para configurar RDS Custom for SQL Server

Antes de crear una instancia de base de datos de RDS Custom para SQL Server, asegúrese de que su entorno cumple los requisitos descritos en este tema. También puede usar la plantilla CloudFormation para configurar los requisitos previos en su Cuenta de AWS. Para obtener más información, consulte Configuración con AWS CloudFormation

RDS Custom para SQL Server requiere que configure los siguientes requisitos previos:

• Configure los permisos de AWS Identity and Access Management (IAM) necesarios para la creación de instancias. Es el usuario o rol AWS Identity and Access Management (IAM) necesario para realizar una solicitud create-db-instance a RDS.

• Configure los recursos de requisitos previos que requiere la instancia de base de datos de RDS Custom para SQL Server:

  • Configure la clave AWS KMS necesaria para el cifrado de la instancia de RDS Custom. RDS Custom requiere una clave administrada por el cliente en el momento de la creación de la instancia para el cifrado. El ARN de la clave de KMS, el ID, el alias de ARNo el nombre de alias se transmiten como parámetro kms-key-id en la solicitud para crear la instancia de base de datos de RDS Custom.

  • Configure los permisos necesarios en la instancia de base de datos de RDS Custom para SQL Server. RDS Custom adjunta un perfil de instancia a la instancia de base de datos en el momento de la creación y lo utiliza para la automatización dentro de la instancia de base de datos. El nombre del perfil de la instancia se establece en custom-iam-instance-profile en la solicitud de creación de RDS Custom. Puede crear un perfil de instancia desde la AWS Management Console o crear su perfil de instancia de forma manual. Para obtener más información, consulte Creación automática de perfiles de instancias mediante la AWS Management Console y Creación manual del Rol de IAM y el perfil de instancias.

  • Configure los ajustes de red de acuerdo con los requisitos de RDS Custom para SQL Server. Las instancias de RDS Custom residen en las subredes (configuradas con el grupo de subredes de base de datos) que proporciona al crear la instancia. Estas subredes deben permitir que las instancias de RDS Custom se comuniquen con los servicios necesarios para la automatización de RDS.

nota

Para cumplir con los requisitos mencionados antes, asegúrese de que no haya políticas de control de servicios (SCP) que restrinjan los permisos en el nivel de cuenta.

Si la cuenta que está utilizando forma parte de una organización de AWS, es posible que tenga políticas de control de servicio (SCP) que restrinjan los permisos en el nivel de cuenta. Asegúrese de que las SCP no restrinjan los permisos de los usuarios y los roles que cree mediante los siguientes procedimientos.

Para obtener más información acerca de las SCP, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations. Utilice el comando describe-organization de la AWS CLI para comprobar si su cuenta forma parte de una organización de AWS.

Para obtener más información acerca de AWS Organizations, consulte ¿Qué es AWS Organizations? en la Guía del usuario de AWS Organizations.

Para obtener información sobre los requisitos generales aplicables a RDS Custom for SQL Server, consulte Requisitos generales de RDS Custom for SQL Server.

Creación automática de perfiles de instancias mediante la AWS Management Console

RDS Custom requiere que cree y configure un perfil de instancia para lanzar cualquier instancia de base de datos de RDS Custom para SQL Server. Use la AWS Management Console para crear y adjuntar un nuevo perfil de instancia en un solo paso. Esta opción está disponible en la sección de seguridad de RDS Custom, en las páginas de la consola Crear base de datos, Restaurar instantánea y Restaurar a un momento dado. Elija Crear un nuevo perfil de instancia y proporcione un sufijo de nombre de perfil de instancia. La AWS Management Console crea un nuevo perfil de instancia que tiene los permisos necesarios para las tareas de automatización de RDS Custom. Para crear automáticamente nuevos perfiles de instancia, el usuario que ha iniciado sesión en la AWS Management Console debe tener permisos iam:CreateInstanceProfile, iam:AddRoleToInstanceProfile, iam:CreateRole y iam:AttachRolePolicy.

nota

Esta opción solo está disponible en la AWS Management Console. Si utiliza la CLI o el SDK, utilice la plantilla CloudFormation proporcionada por RDS Custom o cree un perfil de instancia manualmente. Para obtener más información, consulte Creación manual del Rol de IAM y el perfil de instancias.

Paseo 1: concesión de los permisos necesarios a la entidad principal de IAM

Asegúrese de que tiene acceso suficiente para crear una instancia de RDS Custom. El rol de IAM o el usuario de IAM (denominado entidad principal de IAM) para crear una instancia de base de datos de RDS Custom para SQL Server mediante la consola o la CLI debe tener una de las siguientes políticas para crear correctamente una instancia de base de datos:

• La política AdministratorAccess

• La política AmazonRDSFullAccess con los siguientes permisos adicionales:

  iam:SimulatePrincipalPolicy
  cloudtrail:CreateTrail
  cloudtrail:StartLogging
  s3:CreateBucket
  s3:PutBucketPolicy
  s3:PutBucketObjectLockConfiguration
  s3:PutBucketVersioning 
  kms:CreateGrant
  kms:DescribeKey

  RDS Custom utiliza estos permisos durante la creación de la instancia. Estos permisos configuran los recursos de su cuenta que son necesarios para las operaciones de RDS Custom.

  Para obtener más información acerca del permiso de kms:CreateGrant, consulte Administración de AWS KMS key.

La siguiente política de JSON de muestra otorga los permisos necesarios.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Además, la entidad principal de IAM requiere el permiso iam:PassRole en el rol de IAM. Debe adjuntarse al perfil de instancia pasado en el parámetro custom-iam-instance-profile en la solicitud para crear la instancia de base de datos de RDS Custom. El perfil de instancia y su rol adjunto se crean más adelante en Paso 2: configuración de la red, perfil de instancia y cifrado.

nota

Asegúrese de que los permisos enumerados anteriormente no están restringidos por las políticas de control de servicio (SCP), los límites de los permisos o las políticas de sesión asociadas a la entidad principal de IAM.

Paso 2: configuración de la red, perfil de instancia y cifrado

Puede configurar el rol de perfil de instancia de IAM, la nube privada virtual (VPC) y la clave de cifrado simétrica de AWS KMS mediante cualquiera de los siguientes procesos:

• Configuración con AWS CloudFormation (recomendado)

• Configuración manual

nota

Si su cuenta forma parte de cualquier AWS Organizations, asegúrese de que los permisos requeridos por el rol de perfil de instancia no están restringidos por políticas de control de servicios (SCP).

Las siguientes configuraciones de red en este tema funcionan mejor con instancias de base de datos que no son de acceso público. No puede conectarse directamente a la instancia de base de datos desde fuera de la VPC.

Configuración con AWS CloudFormation

Para simplificar la configuración, puede utilizar un archivo de plantilla AWS CloudFormation para crear pilas de CloudFormation. Una plantilla de CloudFormation crea todas las redes, los perfiles de instancia y los recursos de cifrado de acuerdo con los requisitos de RDS Custom.

Para aprender a crear pilas, consulte Creación de una pila en la consola de AWS CloudFormation en la Guía del usuario de AWS CloudFormation.

Para obtener un tutorial sobre cómo iniciar Amazon RDS Custom para SQL Server mediante una plantilla de AWS CloudFormation, consulte Get started with Amazon RDS Custom for SQL Server using an AWS CloudFormation template (Empiece a utilizar Amazon RDS Custom para SQL Server con una plantilla de AWS CloudFormation) en el blog de AWS Database.

Temas

• Parámetros requeridos por CloudFormation
• Descarga del archivo de plantilla AWS CloudFormation
• Configuración de recursos mediante CloudFormation

Parámetros requeridos por CloudFormation

Los siguientes parámetros son necesarios para configurar los recursos de requisitos previos de RDS Custom con CloudFormation:

Grupo de parámetros	Nombre del parámetro	Valor predeterminado	Descripción
Configuración de disponibilidad	Seleccione una configuración de disponibilidad para ajustar los requisitos previos	Multi-AZ	Especifique si desea configurar los requisitos previos en una configuración Single-AZ o Multi-AZ para instancias de RDS Custom. Debe utilizar la configuración Multi-AZ si necesita al menos una instancia de base de datos Multi-AZ en esta configuración
Configuración de red	Bloque de CIDR de IPv4 para VPC	10.0.0.0/16	Especifique un bloque de CIDR de IPv4 (o un rango de direcciones IP) para la VPC. Esta VPC está configurada para crear y trabajar con una instancia de base de datos de RDS Custom.
	Bloque de CIDR de IPv4 para 1 de 2 subredes privadas	10.0.128.0/20	Especifique un bloque de CIDR de IPv4 (o un rango de direcciones IP) para su primera subred privada. Esta es una de las dos subredes en las que se puede crear la instancia de base de datos de RDS Custom. Se trata de una subred privada sin acceso a Internet.
	Bloque de CIDR de IPv4 para 2 de 2 subredes privadas	10.0.144.0/20	Especifique un bloque de CIDR de IPv4 (o un rango de direcciones IP) para su segunda subred privada. Esta es una de las dos subredes en las que se puede crear la instancia de base de datos de RDS Custom. Se trata de una subred privada sin acceso a Internet.
	Bloque de CIDR de IPv4para subred pública	10.0.0.0/20	Especifique un bloque de CIDR de IPv4 (o un rango de direcciones IP) para su subred pública. Esta es una de las subredes en las que se puede conectar la instancia de EC2 con la instancia de base de datos de RDS Custom que se puede crear. Se trata de una subred pública con acceso a Internet.
Configuración de acceso RDP	Bloque CIDR de IPv4 de su origen	‐	Especifique un bloque de CIDR de IPv4 (o un rango de direcciones IP) para su origen. Este es el rango de IP desde el que se establece la conexión RDP a la instancia de EC2 en la subred pública. Si no se establece, la conexión RDP a la instancia de EC2 no está configurada.
	Configuración del acceso RDP a la instancia de RDS Custom para SQL Server	No	Especifique si desea habilitar la conexión RDP desde la instancia de EC2 a la instancia de RDS Custom para SQL Server. De forma predeterminada, la conexión RDP desede la instancia de EC2 a la instancia de base de datos no está configurada.

Recursos creados por CloudFormation

La creación correcta de la pila de CloudFormation con la configuración predeterminada crea los siguientes recursos en su Cuenta de AWS:

• Clave de KMS de cifrado simétrico para el cifrado de datos administrado por RDS Custom.

• El perfil de la instancia está asociado a un rol de IAM con AmazonRDSCustomInstanceProfileRolePolicy para proporcionar los permisos requeridos por RDS Custom. Para obtener más información, consulte AmazonRDSCustomServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

• VPC con el intervalo CIDR especificado como parámetro de CloudFormation. El valor predeterminado es 10.0.0.0/16.

• Dos subredes privadas con el intervalo CIDR especificado en los parámetros, y dos zonas de disponibilidad diferentes en la Región de AWS. Los valores predeterminados de los CIDR de subred son 10.0.128.0/20 y 10.0.144.0/20.

• Una subred pública con el intervalo CIDR especificado en los parámetros. El valor predeterminado de CIDR de subred es 10.0.0.0/20. La instancia de EC2 reside en esta subred y se puede utilizar para conectarse a la instancia de RDS Custom.

• Opción DHCP configurada para la VPC con resolución de nombres de dominio a un servidor de sistema de nombres de dominio (DNS) de Amazon.

• Tabla de enrutamiento para la asociación con dos subredes privadas y sin acceso a Internet.

• Tabla de enrutamiento para la asociación con la subred pública y con acceso a Internet.

• Puerta de enlace de Internet asociada a la VPC para permitir el acceso de Internet a la subred pública.

• Lista de control de acceso a la red (ACL) para la asociación con dos subredes privadas y acceso restringido a HTTPS y puerto de base de datos dentro de VPC.

• Grupo de seguridad de la VPC que se asociará a la instancia de RDS Custom. El acceso está restringido para HTTPS saliente a puntos de conexión de Servicio de AWS que requiere RDS Custom y al puerto de base de datos entrante desde el grupo de seguridad de instancias de EC2.

• Grupo de seguridad de que debe asociarse con la instancia de EC2 en la subred pública. El acceso está restringido para el puerto de base de datos saliente al grupo de seguridad de instancias de RDS Custom.

• Grupo de seguridad de VPC que se asociará a los puntos de conexión de VPC que se creen para los puntos de conexión de Servicio de AWS que requiera RDS Custom.

• Grupo de subredes de base de datos en el que se crean instancias de RDS Custom. Se añaden dos subredes privadas creadas por esta plantilla al grupo de subredes de base de datos.

• Puntos de conexión de VPC para cada uno de los puntos de conexión de Servicio de AWS que requiere RDS Custom.

Si se establece la configuración de disponibilidad en multi-az, se crearán los siguientes recursos además de la lista anterior:

• Reglas de ACL de red que permiten la comunicación entre subredes privadas.

• Acceso entrante y saliente al puerto Multi-AZ dentro del grupo de seguridad de VPC asociado a la instancia de RDS Custom.

• Puntos de conexión de VPC a los puntos de conexión de servicio de AWS que se requieren para la comunicación Multi-AZ.

Además, al establecer la configuración de acceso RDP, se crean los siguientes recursos:

• Configuración del acceso RDP a la subred pública desde la dirección IP de origen:

  • Reglas de ACL de red que permiten la conexión RDP desde la IP de origen a la subred pública.

  • Acceso de entrada al puerto RDP desde la IP de origen al grupo de seguridad de VPC asociado a la instancia de EC2.

• Configuración del acceso RDP desde una instancia de EC2 en una subred pública a una instancia de RDS Custom en subredes privadas:

  • Reglas de ACL de red que permiten la conexión RDP desde una subred pública a subredes privadas.

  • Acceso entrante al puerto RDP desde el grupo de seguridad de VPC asociado a la instancia de EC2 al grupo de seguridad de VPC asociado a la instancia de RDS Custom.

Utilice los procedimientos siguientes para crear la pila de CloudFormation para RDS Custom para SQL Server.

Descarga del archivo de plantilla AWS CloudFormation

Para descargar el archivo de plantilla

1. Abra el menú contextual (haga clic con el botón derecho del ratón) del enlace custom-sqlserver-onboard.zip y elija Save Link As (Guardar enlace como).

2. Guarde y extraiga el archivo en su equipo.

Configuración de recursos mediante CloudFormation

Para configurar recursos mediante CloudFormation

1. Abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation.

2. Para iniciar el Asistente de creación de pila, elija Create Stack (Crear pila).

   Aparecerá la página Create stack (Crear pila).

3. En Prerequisite - Prepare template (Requisito previo - Preparar plantilla), elija Template is ready (La plantilla está lista).

4. En Specify template (Especificar plantilla), haga lo siguiente:

   1. Para Origen de plantilla, elija Cargar un archivo de plantilla.

   2. En Elegir archivo, navegue hasta el archivo correcto y selecciónelo.

5. Elija Siguiente.

   Aparecerá la página Specify stack details (Especificar los detalles de la pila).

6. En Nombre de pila, escriba rds-custom-sqlserver.

7. En Parameters (Parámetros), haga lo siguiente:

   1. Para conservar las opciones predeterminadas, elija Next (Siguiente).

   2. Para cambiar las opciones, elija la configuración de disponibilidad, la configuración de red y la configuración de acceso RDP adecuadas; a continuación, elija Siguiente.

      Lea detenidamente la descripción de cada parámetro antes de cambiarlo.

   nota

   Si decide crear al menos una instancia Multi-AZ en esta pila de CloudFormation, asegúrese de que el parámetro de pila de CloudFormation Select an availability configuration for prerequisites setup esté establecido en Multi-AZ. Si crea la pila de CloudFormation como Single-AZ, actualice la pila de CloudFormation a la configuración Multi-AZ antes de crear la primera instancia Multi-AZ.

8. En la página Configurar opciones de pila, elija Siguiente.

9. En la página Review rds-custom-sqlserver (Revisar rds-custom-sqlserver), haga lo siguiente:

   1. Para Capabilities (Capacidades), seleccione la casilla de verificación I acknowledge that AWS CloudFormation might create IAM resources with custom names (Reconozco que podría crear recursos de IAM con nombres personalizados).

   2. Elija Create stack (Crear pila).

nota

No actualice los recursos creados a partir de esta pila de AWS CloudFormation directamente desde las páginas de recursos. Esto le impide aplicar futuras actualizaciones a estos recursos mediante una plantilla de AWS CloudFormation.

CloudFormation crea los recursos que requiere RDS Custom para SQL Server. Si se produce un error en la creación de la pila, lea la pestaña Events (Eventos) para ver qué error ha habido en la creación de recursos y el motivo de su estado.

La pestaña Outputs (Salidas) de esta pila de CloudFormation en la consola debe tener información sobre todos los recursos que se pasarán como parámetros para crear una instancia de base de datos de RDS Custom para SQL Server. Asegúrese de utilizar el grupo de seguridad de VPC y el grupo de subred de base de datos creado por CloudFormation para las instancias de base de datos de RDS Custom. De forma predeterminada, RDS intenta adjuntar el grupo de seguridad de VPC predeterminado, que podría no tener el acceso que necesita.

Si ha utilizado CloudFormation para crear recursos, puede omitir Configuración manual.

Actualización de la pila de CloudFormation

También puede actualizar parte de la configuración de la pila de CloudFormation después de la creación. Las configuraciones que se pueden actualizar son:

• Configuración de disponibilidad para RDS Custom para SQL Server

  • Select an availability configuration for prerequisites setup: actualice este parámetro para cambiar entre la configuración Single-AZ y Multi-AZ. Si utiliza esta pila de CloudFormation para al menos una instancia Multi-AZ, debe actualizar la pila para elegir la configuración Multi-AZ.

• Configuración de acceso RDP para RDS Custom para SQL Server

  • Bloque de CIDR de IPv4: puede actualizar el bloque de CIDR de IPv4 (o el intervalo de direcciones IP) de la fuente mediante la actualización de este parámetro. Si se deja este parámetro en blanco, se elimina la configuración de acceso RDP del bloque CIDR de origen a la subred pública.

  • Configure el acceso RDP a RDS Custom para SQL Server: habilite o deshabilite la conexión RDP desde la instancia de EC2 a la instancia de RDS Custom para SQL Server.

Eliminación de la pila de CloudFormation

Puede eliminar la pila de CloudFormation después de eliminar todas las instancias de RDS Custom que utilizan recursos de la pila. RDS Custom no realiza un seguimiento de la pila de CloudFormation, por lo que no bloquea la eliminación de la pila cuando hay instancias de base de datos que utilizan recursos de pila. Asegúrese de que no haya ninguna instancia de base de datos de RDS Custom que utilice los recursos de la pila al eliminar la pila.

nota

Al eliminar una pila de CloudFormation, se eliminan todos los recursos creados para la pila excepto la clave de KMS. La clave de KMS cambia al estado pendiente de eliminación y se elimina después de 30 días. Para conservar la clave de KMS, realice una operación CancelKeyDeletion durante el periodo de gracia de 30 días.

Configuración manual

Si elige configurar los recursos manualmente, realice las siguientes tareas.

nota

Para simplificar la configuración, puede utilizar el archivo de plantilla de AWS CloudFormation para crear una pila de CloudFormation en lugar de realizar la configuración manualmente. Para obtener más información, consulte Configuración con AWS CloudFormation.

También puede utilizar la AWS CLI para completar esta sección. Si lo hace, descargue e instale la última CLI.

Temas

• Asegúrese de que tiene una clave de cifrado simétrica AWS KMS
• Creación manual del Rol de IAM y el perfil de instancias
• Configuración manual de la VPC

Asegúrese de que tiene una clave de cifrado simétrica AWS KMS

Se requiere una AWS KMS key de cifrado simétrica para RDS Custom. Cuando crea una instancia de base de datos de RDS Custom para SQL Server, asegúrese de proporcionar el identificador de clave de KMS como parámetro kms-key-id. Para obtener más información, consulte Creación y conexión a una instancia de base de datos para Amazon RDS Custom for SQL Server.

Dispone de las opciones siguientes:

• Si ya dispone de una clave KMS administrada por el cliente en su Cuenta de AWS, puede utilizarla con RDS Custom. No hay que hacer nada más.

• Si ya ha creado una clave KMS de cifrado simétrica administrada por el cliente para un motor diferente de RDS Custom, puede reutilizar la misma clave. No hay que hacer nada más.

• Si no tiene una clave KMS de cifrado simétrica administrada por el cliente en su cuenta, cree una clave KMS mediante las instrucciones de Creating keys (Creación de claves) en la Guía para desarrolladores de AWS Key Management Service.

• Si va a crear una instancia de base de datos de CEV o RDS Custom y su clave de KMS está en una Cuenta de AWS diferente, asegúrese de utilizar la AWS CLI. No puede usar la consola de AWScon claves de KMS entre cuentas.

importante

RDS Custom no admite claves KMS administradas por AWS.

Asegúrese de que su clave de cifrado simétrica proporcione acceso a las operaciones kms:Decrypt y kms:GenerateDataKey al rol de IAM AWS Identity and Access Management en su perfil de instancia de IAM. Si tiene una nueva clave de cifrado simétrica en su cuenta, no se requieren cambios. De lo contrario, asegúrese de que la política de claves de cifrado simétricas proporcione acceso a estas operaciones.

Para obtener más información, consulte Paso 4: configurar IAM para RDS Custom for Oracle.

Creación manual del Rol de IAM y el perfil de instancias

Puede crear manualmente un perfil de instancia y utilizarlo para lanzar instancias de RDS Custom. Si tiene pensado crear la instancia en la AWS Management Console, omita esta sección. La AWS Management Console permite crear y asociar un perfil de instancia a sus instancias de base de datos de RDS Custom. Para obtener más información, consulte Creación automática de perfiles de instancias mediante la AWS Management Console.

Cuando cree manualmente un perfil de instancia, pase el nombre del perfil de instancia como parámetro custom-iam-instance-profile en su comando de CLI create-db-instance. RDS Custom usa el rol asociado a este perfil de instancia para ejecutar la automatización y administrar la instancia.

Para crear el perfil de instancia de IAM y los roles de IAM para RDS Custom para SQL Server

1. Creación del Rol de IAM denominado AWSRDSCustomSQLServerInstanceRole con una política de confianza que Amazon EC2 puede utilizar para asumir esta función.

2. Agregue la política administrada de AWS AmazonRDSCustomInstanceProfileRolePolicy a AWSRDSCustomSQLServerInstanceRole.

3. Cree un perfil de instancia de IAM para RDS Custom para SQL Server que se llame AWSRDSCustomSQLServerInstanceProfile.

4. Agregue AWSRDSCustomSQLServerInstanceRole al perfil de instancias.

Creación del Rol de IAM de AWSRDSCustomSQLServerInstanceRole

En el siguiente ejemplo se crea el rol AWSRDSCustomSQLServerInstanceRole. La política de confianza permite que Amazon EC2 asuma el rol.

aws iam create-role \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --assume-role-policy-document '{
        "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                  "Service": "ec2.amazonaws.com"
              }
            }
          ]
        }'

Agregar una política de acceso a AWSRDSCustomSQLServerInstanceRole

Para proporcionar los permisos necesarios, asocie la política administrada de AWS AmazonRDSCustomInstanceProfileRolePolicy aAWSRDSCustomSQLServerInstanceRole. AmazonRDSCustomInstanceProfileRolePolicy permite a las instancias de RDS Custom enviar y recibir mensajes y realizar diversas acciones de automatización.

nota

Asegúrese de que los permisos de la política de acceso no estén restringidos por SCP ni límites de permisos asociados al rol de perfil de instancia.

En el siguiente ejemplo, se asocia una política administrada de AWS AWSRDSCustomSQLServerIamRolePolicy al rolAWSRDSCustomSQLServerInstanceRole.

aws iam attach-role-policy \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy

Cree su perfil de instancias de RDS Custom for SQL Server

Un perfil de instancia es un contenedor que incluye un rol de IAM único. RDS Custom usa el perfil de instancia para pasar el rol a la instancia.

Si utiliza la AWS Management Console para crear un rol para Amazon EC2, la consola crea automáticamente un perfil de instancias y le da el mismo nombre que al rol cuando se creó. Cree su perfil de instancias de la siguiente manera, nombrándolo AWSRDSCustomSQLServerInstanceProfile.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile

Agregue AWSRDSCustomSQLServerInstanceRole a su perfil de instancias de RDS Custom for SQL Server

Añada el rol AWSRDSCustomInstanceRoleForRdsCustomInstance al perfil AWSRDSCustomSQLServerInstanceProfile creado anteriormente.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \
    --role-name AWSRDSCustomSQLServerInstanceRole

Configuración manual de la VPC

La instancia de base de datos de RDS Custom se encuentra en una nube privada virtual (VPC) basada en el servicio Amazon VPC, tal como lo es una instancia de Amazon EC2 o una instancia de Amazon RDS. Proporcione y configure su propia VPC. Por lo tanto, tiene control total sobre la configuración de redes de instancias.

RDS Custom envía la comunicación desde la instancia de base de datos a otros Servicios de AWS. Asegúrese de que se pueda acceder a los siguientes servicios desde la subred en la que creó las instancias de base de datos de RDS Custom:

• Amazon CloudWatch

• Registros de Amazon CloudWatch

• Eventos de Amazon CloudWatch

• Amazon EC2

• Amazon EventBridge

• Simple Storage Service (Amazon S3)

• AWS Secrets Manager

• AWS Systems Manager

Si se crean implementaciones multi-AZ

• Amazon Simple Queue Service

Si RDS Custom no puede comunicarse con los servicios necesarios, publica los siguientes eventos:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.

Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Para evitar errores incompatible-network, asegúrese de que los componentes de la VPC que intervienen en la comunicación entre la instancia de base de datos de RDS Custom y Servicios de AWS cumplen los siguientes requisitos:

• La instancia de base de datos puede realizar conexiones salientes en el puerto 443 a otros Servicios de AWS.

• La VPC permite respuestas entrantes a solicitudes originadas en la instancia de base de datos de RDS Custom.

• RDS Custom puede resolver correctamente los nombres de dominio de los puntos de conexión de cada Servicio de AWS.

Si ya ha configurado una VPC para otro motor de base de datos de RDS Custom, puede reutilizar esa VPC y omitir este proceso.

Temas

• Configure los grupos de seguridad de la VPC
• Configuración de puntos de conexión para los Servicios de AWS dependientes
• Configurar el servicio de metadatos de instancia

Configure los grupos de seguridad de la VPC

Un security group (grupo de seguridad) actúa como un firewall virtual para una instancia de VPC, al controlar el tráfico entrante y saliente. Una instancia de base de datos de RDS Custom tiene un grupo de seguridad predeterminado asociado a su interfaz de red que protege la instancia. Asegúrese de que el grupo de seguridad permite el tráfico entre RDS Custom y otros Servicios de AWS a través de HTTPS. Debe pasar este grupo de seguridad como el parámetro vpc-security-group-ids en la solicitud de creación de la instancia.

Para configurar el grupo de seguridad para RDS Custom

1. Inicie sesión en la AWS Management Console y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

2. Permita que RDS Custom utilice el grupo de seguridad predeterminado o cree su propio grupo de seguridad.

   Para obtener instrucciones detalladas, consulte Proporcionar acceso a la instancia de base de datos en la VPC mediante la creación de un grupo de seguridad.

3. Asegúrese de que el grupo de seguridad permita conexiones salientes en el puerto 443. RDS Custom necesita este puerto para comunicarse con los Servicios de AWS dependientes.

4. Si tiene una VPC privada y utiliza puntos de conexión de VPC, asegúrese de que el grupo de seguridad asociado a la instancia de base de datos permite las conexiones salientes en el puerto 443 a los puntos de conexión de VPC. Asegúrese también de que el grupo de seguridad asociado al punto de conexión de VPC permite las conexiones entrantes en el puerto 443 desde la instancia de base de datos.

   Si no se permiten las conexiones entrantes, la instancia personalizada de RDS no podrá conectarse a los puntos de conexión de AWS Systems Manager y Amazon EC2. Para obtener más información, consulte Crear un punto de conexión de nube privada virtual en la Guía del usuario de AWS Systems Manager.

5. En el caso de instancias Multi-AZ de RDS Custom para SQL Server, asegúrese de que el grupo de seguridad asociado a la instancia de base de datos permite las conexiones entrantes y salientes en el puerto 1120 a este mismo grupo de seguridad. Esto es necesario para la conexión de host homólogo en una instancia de base de datos Multi-AZ de RDS Custom para SQL Server.

Para obtener más información sobre los grupos de seguridad, consulte Grupos de seguridad de la VPC en la Guía para desarrolladores de Amazon VPC.

Configuración de puntos de conexión para los Servicios de AWS dependientes

Le recomendamos que agregue puntos de conexión para cada servicio a la VPC mediante las siguientes instrucciones. Sin embargo, puede utilizar cualquier solución que le permita a su VPC comunicarse con los puntos de conexión del servicio AWS. Por ejemplo, puede utilizar Network Address Translation (NAT) o AWS Direct Connect.

Para configurar los puntos de conexión de los Servicios de AWS con los que funciona RDS Custom

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En la barra de navegación, use el selector de Región para elegir la Región de AWS.

3. En el panel de navegación, elija Endpoints (Puntos de conexión). En el panel principal, elija Create Endpoint (Crear punto de conexión).

4. En Service category (Categoría de servicios), elija Servicios de AWS.

5. Para Service Name (Nombre del servicio), elija el punto de conexión que se muestra en la tabla.

6. En VPC, elija su VPC.

7. En Subnets (Subredes), elija una subred de cada zona de disponibilidad para su inclusión.

   El punto de conexión de VPC puede abarcar varias zonas de disponibilidad. AWS crea una interfaz de red elástica para el punto de conexión de VPC en cada una de las subredes que usted elija. Cada interfaz de red tiene un nombre de host del Sistema de nombres de dominio (DNS) y una dirección IP privada.

8. En Security group (Grupo de seguridad), elija o cree un grupo de seguridad.

   Puede utilizar grupos de seguridad para controlar el acceso a su punto de conexión, de la misma forma que utiliza un firewall. Asegúrese también de que el grupo de seguridad permite las conexiones entrantes en el puerto 443 desde las instancias de base de datos. Para obtener más información sobre los grupos de seguridad, consulte Grupos de seguridad de su VPC en la Guía de usuario de Amazon VPC.

9. Si lo desea, puede adjuntar una política al punto de conexión de VPC. Las políticas del punto de conexión pueden controlar el acceso al Servicio de AWS que se está conectando. La política predeterminada permite que todas las solicitudes pasen por el punto de conexión. Si utiliza una política personalizada, asegúrese de que las solicitudes de la instancia de base de datos están permitidas en la política.

10. Elija Create endpoint (Crear punto de conexión).

En la tabla siguiente se explica cómo encontrar la lista de puntos de conexión que necesita la VPC para las comunicaciones salientes.

Servicio	Formato de punto de conexión	Notas y enlaces
AWS Systems Manager	Use los siguientes formatos de punto de conexión: ssm.region.amazonaws.com ssmmessages.region.amazonaws.com	Para obtener una lista de todos los puntos de conexión de cada región, consulte AWS Systems Manager endpoints and quotas (Puntos de conexión y cuotas de AWS Systems Manager) en la Referencia general de Amazon Web Services.
AWS Secrets Manager	Use el formato de punto de conexión secretsmanager.region.amazonaws.com.	Para obtener una lista de todos los puntos de conexión de cada región, consulte AWS Secrets Manager endpoints and quotas (Puntos de conexión y cuotas de AWS Secrets Manager) en la Referencia general de Amazon Web Services.
Amazon CloudWatch	Use los siguientes formatos de punto de conexión: Para las métricas de CloudWatch, utilice monitoring.region.amazonaws.com Para CloudWatch Events, utilice events.region.amazonaws.com Para CloudWatch Logs, utilice logs.region.amazonaws.com	Para obtener la lista de puntos de conexión de cada Región, consulte: Puntos de conexión y cuotas de Amazon CloudWatch en la Referencia general de Amazon Web Services Puntos de conexión y cuotas de Registros de Amazon CloudWatch en la Referencia general de Amazon Web Services Puntos de conexión y cuotas de Amazon CloudWatch Events en la Referencia general de Amazon Web Services
Amazon EC2	Use los siguientes formatos de punto de conexión: ec2.region.amazonaws.com ec2messages.region.amazonaws.com	Para obtener la lista de puntos de conexión en cada región, consulte Amazon Elastic Compute Cloud endpoints and quotas (Puntos de conexión y cuotas de Amazon Elastic Compute Cloud) en la Referencia general de Amazon Web Services.
Amazon S3	Use el formato de punto de conexión s3.region.amazonaws.com.	Para obtener la lista de puntos de conexión en cada región, consulte Amazon Simple Storage Service endpoints and quotas (Puntos de conexión y cuotas de Amazon Simple Storage Service) en la Referencia general de Amazon Web Services. Para obtener más información sobre los puntos de conexión de puerta de enlace para Simple Storage Service (Amazon S3), consulte Endpoints for Amazon S3 (Puntos de conexión para Amazon S3) en la Guía para desarrolladores de Amazon VPC. Para obtener información sobre cómo crear un punto de acceso, consulte Creating access points (Creación de puntos de acceso) en la Guía para desarrolladores de Amazon VPC. Para obtener información acerca de cómo crear puntos de conexión de puerta de enlace para Amazon S3, consulte Puntos de enlace de la VPC de punto de enlace.
Amazon Simple Queue Service	Use el formato de punto de conexión sqs.region.amazonaws.com	Para obtener la lista de puntos de conexión en cada región, consulte Amazon Simple Storage Service endpoints and quotas.

Configurar el servicio de metadatos de instancia

Asegúrese de que la instancia pueda hacer lo siguiente:

• Acceda al servicio de metadatos de la instancia mediante la versión 2 del servicio de metadatos de la instancia (IMDSv2).

• Permitir comunicaciones salientes a través del puerto 80 (HTTP) a la dirección IP del enlace IMDS.

• Solicitar metadatos de instancia de http://169.254.169.254, el enlace IMDSv2.

Para obtener más información, consulte Use IMDSv2 (Usar IMDSv2) en la Amazon EC2 User Guide for Linux Instances (Guía del usuario de Amazon EC2 para instancias de Linux).

Restricciones entre instancias

Al crear un perfil de instancia siguiendo los pasos anteriores, utiliza la política administrada de AWS AmazonRDSCustomInstanceProfileRolePolicy para proporcionar los permisos necesarios a RDS Custom, lo que permite la automatización de la administración y supervisión de las instancias. La política administrada garantiza que los permisos permitan el acceso únicamente a los recursos que RDS Custom necesita para ejecutar la automatización. Recomendamos utilizar la política administrada para admitir nuevas funciones y abordar requisitos de seguridad que se aplican automáticamente a los perfiles de instancia existentes sin intervención manual. Para obtener más información, consulte Política administrada de AWS: AmazonRDSCustomInstanceProfileRolePolicy.

La política administrada AmazonRDSCustomInstanceProfileRolePolicy restringe que el perfil de instancia tenga acceso entre cuentas, pero puede permitir el acceso a algunos recursos administrados de RDS Custom en las instancias de RDS Custom de la misma cuenta. Según sus requisitos, puede usar los límites de los permisos para restringir aún más el acceso entre instancias. Los límites de permisos definen los permisos máximos que las políticas basadas en identidad pueden conceder a una entidad, pero no conceden permisos por sí mismos. Para obtener más información, consulte Evaluación de los permisos efectivos cuando se usan límites.

Por ejemplo, la siguiente política restringe el acceso del rol del perfil de la instancia a una clave AWS KMS específica y limita el acceso a los recursos administrados de RDS Custom en todas las instancias que utilizan claves AWS KMS diferentes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyOtherKmsKeyAccess",
            "Effect": "Deny",
            "Action": "kms:*",
            "NotResource": "arn:aws:kms:region:acct_id:key/KMS_key_ID"
        },
        {
            "Sid": "NoBoundarySetByDefault",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

nota

Asegúrese de que el límite de permisos no bloquee ningún permiso que AmazonRDSCustomInstanceProfileRolePolicy conceda a RDS Custom.