Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de votre environnement pour Amazon RDS Custom for Oracle
Avant de créer une instance de base de données Amazon RDS Custom for Oracle, effectuez les tâches suivantes.
Rubriques
- Étape 1 : Créer ou réutiliser une clé de chiffrement symétrique AWS KMS
- Étape 2 : Téléchargez et installez AWS CLI
- Étape 3 : Extraire les CloudFormation modèles pour RDS Custom pour Oracle
- Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle
- Étape 5 : accordez les autorisations requises à votre utilisateur ou à votre rôle IAM
- Étape 6 : Configuration de votre VPC pour RDS Custom pour Oracle
Étape 1 : Créer ou réutiliser une clé de chiffrement symétrique AWS KMS
Les clés gérées par le client se trouvent AWS KMS keys dans votre AWS compte que vous créez, détenez et gérez. Une clé KMS de chiffrement symétrique gérée par le client est requise pour RDS Custom. Lorsque vous créez une instance de base de données RDS Custom for Oracle, vous indiquez l'identificateur de clé KMS. Pour plus d’informations, consultez Configuration d'une instance de base de données pour Amazon RDS Custom for Oracle.
Vous avez les options suivantes :
-
Si vous possédez déjà une clé KMS gérée par le client Compte AWS, vous pouvez l'utiliser avec RDS Custom. Aucune action supplémentaire n'est nécessaire.
-
Si vous avez déjà créé une clé KMS de chiffrement symétrique gérée par le client pour un moteur RDS Custom différent, vous pouvez réutiliser la même clé KMS. Aucune action supplémentaire n'est nécessaire.
-
Si votre compte ne contient pas encore de clés de chiffrement KMS symétriques gérées par le client, créez-en une en suivant les instructions de la section Creating keys (Création de clés) dans le Guide du développeur AWS Key Management Service .
-
Si vous créez une instance de base de données personnalisée CEV ou RDS et que votre clé KMS se trouve dans une autre Compte AWS, assurez-vous d'utiliser le. AWS CLI Vous ne pouvez pas utiliser la AWS console avec des clés KMS entre comptes.
Important
RDS Custom ne prend pas en charge les clés KMS AWS gérées.
Assurez-vous que votre clé de chiffrement symétrique donne accès au rôle AWS Identity and Access Management (IAM) kms:Decrypt
et aux kms:GenerateDataKey
opérations dans votre profil d'instance IAM. Si votre compte contient une nouvelle clé de chiffrement symétrique, aucune modification n'est requise. Sinon, veillez à ce que la stratégie de votre clé de chiffrement symétrique puisse fournir l'accès à ces opérations.
Pour plus d’informations, consultez Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.
Pour plus d'informations sur la configuration d'IAM pour RDS Custom for Oracle, consultez Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.
Étape 2 : Téléchargez et installez AWS CLI
AWS vous fournit une interface de ligne de commande pour utiliser les fonctionnalités personnalisées de RDS. Vous pouvez utiliser la version 1 ou 2 d' AWS CLI.
Pour plus d'informations sur le téléchargement et l'installation du AWS CLI, voir Installation ou mise à jour de la dernière version du AWS CLI.
Ignorez cette étape si l'une des conditions suivantes est vraie :
-
Vous prévoyez d'accéder à RDS Custom uniquement à partir du AWS Management Console.
-
Vous avez déjà téléchargé le AWS CLI pour Amazon RDS ou un autre moteur de base de données personnalisé RDS.
Étape 3 : Extraire les CloudFormation modèles pour RDS Custom pour Oracle
Pour simplifier la configuration, nous vous recommandons vivement d'utiliser des AWS CloudFormation modèles pour créer des CloudFormation piles. Si vous prévoyez de configurer IAM et votre VPC manuellement, ignorez cette étape.
Rubriques
Étape 3a : Téléchargez les fichiers CloudFormation modèles
Un CloudFormation modèle est une déclaration des AWS ressources qui constituent une pile. Le modèle est stocké sous la forme d'un fichier JSON.
Pour télécharger les fichiers CloudFormation modèles
-
Ouvrez le menu contextuel (clic droit) du lien custom-oracle-iam.zip et choisissez Enregistrer le lien sous.
-
Enregistrez le fichier sur votre ordinateur.
-
Répétez les étapes précédentes pour le lien custom-vpc.zip.
Si vous avez déjà configuré votre VPC pour RDS Custom, ignorez cette étape.
Étape 3b : Extraire le custom-oracle-iam fichier .json
Ouvrez le custom-oracle-iam.zip
fichier que vous avez téléchargé, puis extrayez-lecustom-oracle-iam.json
. Le début du fichier se présente comme suit.
{ "AWSTemplateFormatVersion": "2010-09-09", "Parameters": { "EncryptionKey": { "Type": "String", "Default": "*", "Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances." } }, "Resources": { "RDSCustomInstanceServiceRole": { "Type": "AWS::IAM::Role", "Properties": { "RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" }, "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" } } ] },...
Étape 3c : Extraire custom-vpc.json
Note
Si vous avez déjà configuré un VPC existant pour RDS Custom for Oracle, ignorez cette étape. Pour plus d’informations, consultez Configurez votre VPC manuellement pour RDS Custom for Oracle.
Ouvrez custom-vpc.zip
le fichier que vous avez téléchargé, puis extrayez-le. custom-vpc.json
Le début du fichier se présente comme suit.
{ "AWSTemplateFormatVersion": "2010-09-09", "Parameters": { "PrivateVpc": { "Type": "AWS::EC2::VPC::Id", "Description": "Private VPC Id to use for RDS Custom DB Instances" }, "PrivateSubnets": { "Type": "List<AWS::EC2::Subnet::Id>", "Description": "Private Subnets to use for RDS Custom DB Instances" }, "RouteTable": { "Type": "String", "Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint", "AllowedPattern": "rtb-[0-9a-z]+" } }, "Resources": { "DBSubnetGroup": { "Type": "AWS::RDS::DBSubnetGroup", "Properties": { "DBSubnetGroupName": "rds-custom-private", "DBSubnetGroupDescription": "RDS Custom Private Network", "SubnetIds": { "Ref": "PrivateSubnets" } } },...
Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle
Vous utilisez un rôle IAM ou un utilisateur IAM (appelé entité IAM) pour créer une instance de base de données RDS Custom à l'aide de la console ou de l' AWS CLI. Cette entité IAM doit disposer des autorisations nécessaires à la création d'instances.
Vous pouvez configurer IAM à l'aide de l'une CloudFormation ou l'autre d'étapes manuelles.
Important
Nous vous recommandons vivement de configurer votre environnement RDS Custom pour Oracle à l'aide AWS CloudFormation de. Cette technique est la plus simple et la moins sujette aux erreurs.
Rubriques
Configurez IAM à l'aide de CloudFormation
Lorsque vous utilisez le CloudFormation modèle pour IAM, il crée les ressources requises suivantes :
-
Un profil d'instance nommé
AWSRDSCustomInstanceProfile-
region
-
Un nom de rôle de service nommé
AWSRDSCustomInstanceRole-
region
-
Une politique d'accès nommée
AWSRDSCustomIamRolePolicy
qui est attachée au rôle de service
Pour configurer IAM à l'aide de CloudFormation
-
Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation
. -
Lancez l'assistant de création de piles et choisissez Créer une pile.
-
Sur la page Create stack (Créer une pile), procédez de la manière suivante :
-
Pour Préparer le modèle, choisissez Le modèle est prêt.
-
Pour Source du modèle, choisissez Charger un fichier de modèle.
-
Pour Choisir un fichier, accédez à custom-oracle-iam.json et sélectionnez ce fichier.
-
Choisissez Suivant.
-
-
Sur la page Spécifier les détails de la pile, procédez comme suit :
-
Dans le champ Nom de la pile, saisissez
custom-oracle-iam
. -
Choisissez Next (Suivant).
-
-
Sur la page Configurer les options de pile, choisissez Suivant.
-
Sur la custom-oracle-iam page Révision, procédez comme suit :
-
Cochez la case Je comprends qu' AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés.
-
Sélectionnez Envoyer.
CloudFormation crée les rôles IAM requis par RDS Custom for Oracle. Dans le volet de gauche, lorsque custom-oracle-iam affiche CREATE_COMPLETE, passez à l'étape suivante.
-
-
Dans le volet gauche, choisissez custom-oracle-iam. Dans le volet de droite, procédez de la façon suivante :
-
Choisissez Informations sur la pile. Votre pile possède un ID au format arn:aws:cloudformation:
region
:account-no
:stack/custom-oracle-iam/identifier
. -
Sélectionnez Ressources. Vous devez voir ce qui suit :
-
Un profil d'instance nommé AWSRDSCustomInstanceProfile-
region
-
Un rôle de service nommé AWSRDSCustomInstanceRole-
region
Lorsque vous créez votre instance de base de données RDS Custom, vous devez fournir l'ID de profil d'instance.
-
-
Créer manuellement votre profil d'instance et de rôle IAM
La configuration est plus simple lorsque vous utilisez CloudFormation. Toutefois, vous pouvez aussi configurer IAM manuellement. Pour une configuration manuelle, procédez comme suit :
-
Étape 1 : création du rôle IAM AWSRDSCustomInstanceRoleForRdsCustomInstance.
-
Étape 2 : ajouter une politique d'accès à AWSRDSCustomInstanceRoleForRdsCustomInstance.
-
Étape 2 : ajouter une politique d'accès à AWSRDSCustomInstanceRoleForRdsCustomInstance.
-
Étape 4 : Ajouter AWSRDSCustomInstanceRoleForRdsCustomInstance à AWSRDSCustomInstanceProfile.
Étape 1 : création du rôle IAM AWSRDSCustomInstanceRoleForRdsCustomInstance
Au cours de cette étape, vous créez le rôle à l'aide du format de dénomination AWSRDSCustomInstanceRole-
. L'utilisation de la stratégie d'approbation permet à Amazon EC2 d'assumer le rôle. L'exemple suivant suppose que vous avez défini la variable d'environnement region
$REGION
sur la Région AWS dans laquelle vous souhaitez créer votre instance de base de données.
aws iam create-role \ --role-name AWSRDSCustomInstanceRole-$REGION \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" } } ] }'
Étape 2 : ajouter une politique d'accès à AWSRDSCustomInstanceRoleForRdsCustomInstance
Lorsque vous intégrez une stratégie en ligne à un rôle IAM, celle-ci est utilisée comme une partie de la stratégie d'accès du rôle (autorisations). Vous créez la stratégie AWSRDSCustomIamRolePolicy
qui autorise Amazon EC2 à envoyer et recevoir des messages, et à effectuer différentes actions.
L'exemple suivant crée la stratégie d'accès nommée AWSRDSCustomIamRolePolicy
, et l'ajoute au rôle IAM AWSRDSCustomInstanceRole-
. Cet exemple suppose que vous avez défini les variables d'environnement suivantes :region
$REGION
-
Définissez cette variable sur celle Région AWS dans laquelle vous prévoyez de créer votre instance de base de données.
$ACCOUNT_ID
-
Définissez cette variable sur votre Compte AWS numéro.
$KMS_KEY
-
Définissez cette variable sur l'Amazon Resource Name (ARN) de la AWS KMS key que vous souhaitez utiliser pour vos instances de base de données RDS Custom. Pour spécifier d'autres clés KMS, ajoutez-les à la section
Resources
de l'ID d'instruction (Sid) 11.
aws iam put-role-policy \ --role-name AWSRDSCustomInstanceRole-$REGION \ --policy-name AWSRDSCustomIamRolePolicy \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "1", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetDocument", "ssm:DescribeDocument", "ssm:GetManifest", "ssm:GetParameter", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation", "ssm:GetConnectionStatus", "ssm:DescribeInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": [ "*" ] }, { "Sid": "2", "Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": [ "*" ] }, { "Sid": "3", "Effect": "Allow", "Action": [ "logs:PutRetentionPolicy", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*" ] }, { "Sid": "4", "Effect": "Allow", "Action": [ "s3:putObject", "s3:getObject", "s3:getObjectVersion" ], "Resource": [ "arn:aws:s3:::do-not-delete-rds-custom-*/*" ] }, { "Sid": "5", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": [ "RDSCustomForOracle/Agent" ] } } }, { "Sid": "6", "Effect": "Allow", "Action": [ "events:PutEvents" ], "Resource": [ "*" ] }, { "Sid": "7", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*" ] }, { "Sid": "8", "Effect": "Allow", "Action": [ "s3:ListBucketVersions" ], "Resource": [ "arn:aws:s3:::do-not-delete-rds-custom-*" ] }, { "Sid": "9", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/AWSRDSCustom": "custom-oracle" } } }, { "Sid": "10", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": [ "arn:aws:ec2:*::snapshot/*" ] }, { "Sid": "11", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'" ] }, { "Sid": "12", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*", "Condition": { "StringLike": { "ec2:CreateAction": [ "CreateSnapshots" ] } } } ] }'
Étape 3 : Création du profil d'instance personnalisé RDS AWSRDSCustomInstanceProfile
Un profil d'instance est un conteneur qui inclut un rôle IAM unique. RDS Custom utilise le profil d'instance pour transmettre le rôle à l'instance.
Si vous utilisez l'interface de ligne de commande pour créer un rôle, vous devez créer le rôle et le profil d'instance sous la forme d'actions distinctes et leur attribuer éventuellement des noms différents. Créez votre profil d'instance IAM comme suit, en le nommant avec le format AWSRDSCustomInstanceProfile-
. L'exemple suivant suppose que vous avez défini la variable d'environnement region
$REGION
sur celle Région AWS dans laquelle vous souhaitez créer votre instance de base de données.
aws iam create-instance-profile \ --instance-profile-name AWSRDSCustomInstanceProfile-$REGION
Étape 4 : Ajouter AWSRDSCustomInstanceRoleForRdsCustomInstance à AWSRDSCustomInstanceProfile
Ajoutez votre rôle IAM au profil d'instance que vous avez créé précédemment. L'exemple suivant suppose que vous avez défini la variable d'environnement $REGION
sur celle Région AWS dans laquelle vous souhaitez créer votre instance de base de données.
aws iam add-role-to-instance-profile \ --instance-profile-name AWSRDSCustomInstanceProfile-$REGION \ --role-name AWSRDSCustomInstanceRole-$REGION
Étape 5 : accordez les autorisations requises à votre utilisateur ou à votre rôle IAM
Assurez-vous que le principal IAM (utilisateur ou rôle) qui crée l'instance de base de données personnalisée CEV ou RDS applique l'une des politiques suivantes :
-
La stratégie
AdministratorAccess
-
La
AmazonRDSFullAccess
politique avec les autorisations requises pour Amazon S3 et CEV AWS KMS, ainsi que pour la création d'instances de base de données
Rubriques
Autorisations IAM requises pour Amazon S3 et AWS KMS
Pour créer des CEV ou RDS Custom pour les instances de base de données Oracle, votre principal IAM doit accéder à Amazon S3 et. AWS KMS L'exemple de politique JSON suivant accorde les autorisations requises.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateS3Bucket", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy", "s3:PutBucketObjectLockConfiguration", "s3:PutBucketVersioning" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*" }, { "Sid": "CreateKmsGrant", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] }
Pour plus d'informations sur l'autorisation kms:CreateGrant
, consultez AWS KMS key management.
Autorisations IAM requises pour créer une CEV
Pour créer un CEV, votre principal IAM a besoin des autorisations supplémentaires suivantes :
s3:GetObjectAcl s3:GetObject s3:GetObjectTagging s3:ListBucket mediaimport:CreateDatabaseBinarySnapshot
L'exemple de politique JSON suivant accorde des autorisations supplémentaires nécessaires pour accéder au compartiment my-custom-installation-files
et son contenu.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessToS3MediaBucket", "Effect": "Allow", "Action": [ "s3:GetObjectAcl", "s3:GetObject", "s3:GetObjectTagging", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::
my-custom-installation-files
", "arn:aws:s3:::my-custom-installation-files
/*" ] }, { "Sid": "PermissionForByom", "Effect": "Allow", "Action": [ "mediaimport:CreateDatabaseBinarySnapshot" ], "Resource": "*" } ] }
Vous pouvez également accorder des autorisations similaires pour Simple Storage Service (Amazon S3) aux comptes appelants à l'aide d'une politique de compartiment S3.
Autorisations IAM requises pour créer une instance de base de données depuis une CEV
Pour créer une instance de base de données RDS Custom pour Oracle à partir d'un CEV existant, le principal IAM a besoin des autorisations supplémentaires suivantes.
iam:SimulatePrincipalPolicy cloudtrail:CreateTrail cloudtrail:StartLogging
L'exemple de politique JSON suivant accorde les autorisations nécessaires pour valider un rôle IAM et journaliser des informations dans un AWS CloudTrail.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ValidateIamRole", "Effect": "Allow", "Action": "iam:SimulatePrincipalPolicy", "Resource": "*" }, { "Sid": "CreateCloudTrail", "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:StartLogging" ], "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*" } ] }
Étape 6 : Configuration de votre VPC pour RDS Custom pour Oracle
Votre instance de base de données RDS Custom se trouve dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC, tout comme une instance Amazon EC2 ou une instance Amazon RDS. Vous fournissez et configurez votre propre VPC. Contrairement à RDS Custom for SQL Server, RDS Custom for Oracle ne crée pas de liste de contrôle d'accès ni de groupes de sécurité. Vous devez associer votre propre groupe de sécurité, vos sous-réseaux et vos tables de routage.
Vous pouvez configurer votre cloud privé virtuel (VPC) à l'aide de l'un CloudFormation ou l'autre processus manuel.
Important
Nous vous recommandons vivement de configurer votre environnement RDS Custom pour Oracle à l'aide AWS CloudFormation de. Cette technique est la plus simple et la moins sujette aux erreurs.
Rubriques
Configurez votre VPC à l'aide de CloudFormation (recommandé)
Si vous avez déjà configuré votre VPC pour un autre moteur RDS Custom et que vous voulez réutiliser le VPC existant, ignorez cette étape. Cette section suppose ce qui suit :
-
Vous l'avez déjà utilisé CloudFormation pour créer votre profil et votre rôle d'instance IAM.
-
Vous connaissez l'ID de votre table de routage.
Pour qu'une instance de base de données soit privée, elle doit se trouver dans un sous-réseau privé. Pour qu'un sous-réseau soit privé, il ne doit pas être associé à une table de routage comportant une passerelle Internet par défaut. Pour plus d'informations, consultez Configuration des tables de routage dans le Guide de l'utilisateur d'Amazon VPC.
Lorsque vous utilisez le CloudFormation modèle pour votre VPC, il crée les ressources suivantes :
-
Un VPC privé
-
Un groupe de sous-réseaux nommé
rds-custom-private
-
Les points de terminaison VPC suivants, avec lesquels votre instance de base de données communique, dépendent : Services AWS
-
com.amazonaws.
region
.ec2messages -
com.amazonaws.
region
.events -
com.amazonaws.
region
.logs -
com.amazonaws.
region
.monitoring -
com.amazonaws.
region
.s3 -
com.amazonaws.
region
.secretsmanager -
com.amazonaws.
region
.ssm -
com.amazonaws.
region
.ssmmessages
Note
Pour une configuration réseau complexe avec des comptes existants, nous vous recommandons de configurer manuellement l'accès aux services dépendants si aucun accès n'existe déjà. Pour plus d’informations, consultez Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS.
-
Pour configurer votre VPC à l'aide de CloudFormation
-
Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation
. -
Lancez l'assistant Créer une pile et choisissez Créer une pile, puis Avec de nouvelles ressources (standard).
-
Sur la page Créer une pile, procédez de la manière suivante :
-
Pour Préparer le modèle, choisissez Le modèle est prêt.
-
Pour Source du modèle, choisissez Charger un fichier de modèle.
-
Pour Choisir un fichier, accédez à
custom-vpc.json
et sélectionnez ce fichier. -
Choisissez Suivant.
-
-
Sur la page Spécifier les détails de la pile, procédez comme suit :
-
Dans le champ Nom de la pile, saisissez
custom-vpc
. -
Pour Paramètres, sélectionnez les sous-réseaux privés à utiliser pour les instances de base de données RDS Custom.
-
Choisissez l'ID du VPC privé à utiliser pour les instances de base de données RDS Custom.
-
Indiquez la table de routage associée aux sous-réseaux privés.
-
Choisissez Next (Suivant).
-
-
Sur la page Configurer les options de pile, choisissez Suivant.
-
Sur la page Vérifier custom-vpc, choisissez Envoyer.
CloudFormation configure votre VPC privé. Dans le volet de gauche, lorsque custom-vpc affiche CREATE_COMPLETE, passez à l'étape suivante.
-
(Facultatif) Vérifiez les détails de votre VPC. Dans le volet Piles, choisissez custom-vpc. Dans le volet de droite, procédez de la façon suivante :
-
Choisissez Informations sur la pile. Votre pile possède un ID au format arn:aws:cloudformation:
region
:account-no
:stack/custom-vpc/identifier
. -
Sélectionnez Ressources. Vous devriez voir un groupe de sous-réseaux nommé rds-custom-private et plusieurs points de terminaison d'un VPC utilisant le format de dénomination vpce-
string
. Chaque point de terminaison correspond à un Service AWS point de terminaison avec lequel RDS Custom doit communiquer. Pour plus d’informations, consultez Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS. -
Choisissez Parameters (Paramètres). Vous devriez voir les sous-réseaux privés, le VPC privé et la table de routage que vous avez spécifiés lors de la création de la pile. Lorsque vous créez une instance de base de données, vous devez fournir l'ID du VPC et le groupe de sous-réseaux.
-
Configurez votre VPC manuellement pour RDS Custom for Oracle
Au lieu d'automatiser la création de VPC AWS CloudFormation avec, vous pouvez configurer votre VPC manuellement. Cette option peut être la meilleure lorsque vous disposez d'une configuration réseau complexe qui utilise des ressources existantes.
Rubriques
Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS
RDS Custom envoie la communication de votre instance de base de données vers d'autres Services AWS. Assurez-vous que les services suivants sont accessibles depuis le sous-réseau dans lequel vous créez vos instances de base de données personnalisées RDS :
-
Amazon CloudWatch
-
Amazon CloudWatch Logs
-
CloudWatch Événements Amazon
-
Amazon EC2
-
Amazon EventBridge
-
Amazon S3
-
AWS Secrets Manager
-
AWS Systems Manager
Si vous créez des déploiements multi-AZ
Amazon Simple Queue Service
Si RDS Custom ne parvient pas à communiquer avec les services nécessaires, il publie les événements suivants :
Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"
Pour éviter les incompatible-network
erreurs, assurez-vous que les composants VPC impliqués dans la communication entre votre instance de base de données personnalisée RDS Services AWS répondent aux exigences suivantes :
-
L'instance de base de données peut établir des connexions sortantes sur le port 443 vers d'autres Services AWS.
-
Le VPC autorise les réponses entrantes aux demandes provenant de votre instance de base de données RDS Custom.
-
RDS Custom peut correctement résoudre les noms de domaine des points de terminaison pour chaque Service AWS.
Si vous avez déjà configuré un VPC pour un moteur de base de données RDS Custom différent, vous pouvez réutiliser ce VPC et ignorer ce processus.
Configuration du service des métadonnées d'instance
Assurez-vous que votre instance peut effectuer les opérations suivantes :
-
Accéder au service des métadonnées d'instance à l'aide de la version 2 du service de métadonnées d'instance (IMDSv2).
-
Autoriser les communications sortantes via le port 80 (HTTP) vers l'adresse IP de la liaison IMDS.
-
Demander des métadonnées d'instance de
http://169.254.169.254
, la liaison IMDSv2.
Pour plus d'informations, consultez la section Utiliser IMDSv2 dans le guide de l'utilisateur Amazon EC2.
Par défaut, l'automatisation de RDS Custom for Oracle utilise IMDSv2 en définissant HttpTokens=enabled
sur l'instance Amazon EC2 sous-jacente. Vous pouvez toutefois utiliser IMDSv1 si vous le souhaitez. Pour plus d'informations, consultez Configurer les options de métadonnées de l'instance dans le guide de l'utilisateur Amazon EC2.