Configuration de votre environnement pour Amazon RDS Custom for Oracle - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de votre environnement pour Amazon RDS Custom for Oracle

Avant de créer une instance de base de données Amazon RDS Custom for Oracle, effectuez les tâches suivantes.

Étape 1 : Créer ou réutiliser une clé de chiffrement symétrique AWS KMS

Les clés gérées par le client sont des AWS KMS keys dans votre compte AWS que vous créez, possédez et gérez. Une clé KMS de chiffrement symétrique gérée par le client est requise pour RDS Custom. Lorsque vous créez une instance de base de données RDS Custom for Oracle, vous indiquez l'identificateur de clé KMS. Pour plus d'informations, consultez Configuration d'une instance de base de données pour Amazon RDS Custom for Oracle.

Vous avez les options suivantes :

  • Si vous disposez déjà d'une clé KMS gérée par le client dans votre Compte AWS, vous pouvez l'utiliser avec RDS Custom. Aucune action supplémentaire n'est nécessaire.

  • Si vous avez déjà créé une clé KMS de chiffrement symétrique gérée par le client pour un moteur RDS Custom différent, vous pouvez réutiliser la même clé KMS. Aucune action supplémentaire n'est nécessaire.

  • Si votre compte ne contient pas encore de clés de chiffrement KMS symétriques gérées par le client, créez-en une en suivant les instructions de la section Creating keys (Création de clés) dans le Guide du développeur AWS Key Management Service.

  • Si vous créez une instance de base de données personnalisée CEV ou RDS et que votre clé KMS se trouve dans un autre Compte AWS, assurez-vous d'utiliser l'AWS CLI. Vous ne pouvez pas utiliser la console AWS avec des clés KMS multicomptes.

Important

RDS Custom ne prend pas en charge les clés KMS gérées par AWS.

Veillez à ce que votre clé de chiffrement symétrique donne accès aux opérations kms:Decrypt et kms:GenerateDataKey au rôle AWS Identity and Access Management (IAM) dans votre profil d'instance IAM. Si votre compte contient une nouvelle clé de chiffrement symétrique, aucune modification n'est requise. Sinon, veillez à ce que la stratégie de votre clé de chiffrement symétrique puisse fournir l'accès à ces opérations.

Pour plus d'informations, consultez Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.

Pour plus d'informations sur la configuration d'IAM pour RDS Custom for Oracle, consultez Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.

Étape 2: Télécharger et installer l'AWS CLI

AWS fournit une interface de ligne de commande pour utiliser les fonctions RDS Custom. Vous pouvez utiliser la version 1 ou 2 d'AWS CLI.

Pour plus d'informations sur le téléchargement et l'installation d'AWS CLI, consultez la section Installing or updating the latest version of the AWS CLI (Installation ou mise à jour de la version la plus récente AWS CLI).

Ignorez cette étape si l'une des conditions suivantes est vraie :

  • Vous envisagez d'accéder à RDS Custom uniquement à partir de la AWS Management Console.

  • Vous avez déjà téléchargé l'AWS CLI pour Amazon RDS ou un autre moteur RDS Custom.

Étape 3 : Extraire les CloudFormation modèles pour RDS Custom pour Oracle

Pour simplifier la configuration, nous vous recommandons vivement d'utiliser des AWS CloudFormation modèles pour créer des CloudFormation piles. Si vous prévoyez de configurer IAM et votre VPC manuellement, ignorez cette étape.

Étape 3a : Téléchargez les fichiers CloudFormation modèles

Un CloudFormation modèle est une déclaration des AWS ressources qui constituent une pile. Le modèle est stocké sous la forme d'un fichier JSON.

Pour télécharger les fichiers CloudFormation modèles
  1. Ouvrez le menu contextuel (clic droit) du lien custom-oracle-iam.zip et choisissez Enregistrer le lien sous.

  2. Enregistrez le fichier sur votre ordinateur.

  3. Répétez les étapes précédentes pour le lien custom-vpc.zip.

    Si vous avez déjà configuré votre VPC pour RDS Custom, ignorez cette étape.

Étape 3b : Extraire le custom-oracle-iam fichier .json

Ouvrez le custom-oracle-iam.zip fichier que vous avez téléchargé, puis extrayez-lecustom-oracle-iam.json. Le début du fichier se présente comme suit.

{ "AWSTemplateFormatVersion": "2010-09-09", "Parameters": { "EncryptionKey": { "Type": "String", "Default": "*", "Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances." } }, "Resources": { "RDSCustomInstanceServiceRole": { "Type": "AWS::IAM::Role", "Properties": { "RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" }, "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" } } ] },...

Étape 3c : Extraire custom-vpc.json

Note

Si vous avez déjà configuré un VPC existant pour RDS Custom for Oracle, ignorez cette étape. Pour plus d'informations, consultez Configurez votre VPC manuellement pour RDS Custom for Oracle.

Ouvrez custom-vpc.zip le fichier que vous avez téléchargé, puis extrayez-le. custom-vpc.json Le début du fichier se présente comme suit.

{ "AWSTemplateFormatVersion": "2010-09-09", "Parameters": { "PrivateVpc": { "Type": "AWS::EC2::VPC::Id", "Description": "Private VPC Id to use for RDS Custom DB Instances" }, "PrivateSubnets": { "Type": "List<AWS::EC2::Subnet::Id>", "Description": "Private Subnets to use for RDS Custom DB Instances" }, "RouteTable": { "Type": "String", "Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint", "AllowedPattern": "rtb-[0-9a-z]+" } }, "Resources": { "DBSubnetGroup": { "Type": "AWS::RDS::DBSubnetGroup", "Properties": { "DBSubnetGroupName": "rds-custom-private", "DBSubnetGroupDescription": "RDS Custom Private Network", "SubnetIds": { "Ref": "PrivateSubnets" } } },...

Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle

Vous utilisez un rôle IAM ou un utilisateur IAM (appelé entité IAM) pour créer une instance de base de données RDS Custom à l'aide de la console ou de l'AWS CLI. Cette entité IAM doit disposer des autorisations nécessaires à la création d'instances.

Vous pouvez configurer IAM à l'aide de l'une CloudFormation ou l'autre d'étapes manuelles.

Important

Nous vous recommandons fortement de configurer votre environnement RDS Custom for Oracle à l'aide d'AWS CloudFormation. Cette technique est la plus simple et la moins sujette aux erreurs.

Configurer IAM à l'aide de CloudFormation

Lorsque vous utilisez le CloudFormation modèle pour IAM, il crée les ressources requises suivantes :

  • Un profil d'instance nommé AWSRDSCustomInstanceProfile-region

  • Un nom de rôle de service nommé AWSRDSCustomInstanceRole-region

  • Une politique d'accès nommée AWSRDSCustomIamRolePolicy qui est attachée au rôle de service

Pour configurer IAM à l'aide de CloudFormation
  1. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Lancez l'assistant de création de piles et choisissez Créer une pile.

  3. Sur la page Create stack (Créer une pile), procédez de la manière suivante :

    1. Pour Préparer le modèle, choisissez Le modèle est prêt.

    2. Pour Source du modèle, choisissez Charger un fichier de modèle.

    3. Pour Choisir un fichier, accédez à, puis choisissez custom-oracle-iam.json.

    4. Choisissez Suivant.

  4. Sur la page Spécifier les détails de la pile, procédez comme suit :

    1. Dans le champ Nom de la pile, saisissez custom-oracle-iam.

    2. Choisissez Next (Suivant).

  5. Sur la page Configurer les options de pile, choisissez Suivant.

  6. Sur la page Review (Vérifier) custom-oracle-iam, procédez comme suit :

    1. Cochez la case Je comprends qu'AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés.

    2. Sélectionnez Envoyer.

    CloudFormation crée les rôles IAM requis par RDS Custom for Oracle. Dans le panneau de gauche, lorsque custom-oracle-iamCREATE_COMPLETE est affiché, passez à l'étape suivante.

  7. Dans le panneau de gauche, choisissez custom-oracle-iam. Dans le volet de droite, procédez de la façon suivante :

    1. Choisissez Informations sur la pile. Votre pile possède un identifiant au format arn:aws:cloudformation : region : account-no:stack//identifier. custom-oracle-iam

    2. Sélectionnez Ressources. Vous devez voir ce qui suit :

      • Un profil d'instance nommé AWSRDSCustomInstanceProfile- region

      • Un rôle de service nommé AWSRDSCustomInstanceRole- region

      Lorsque vous créez votre instance de base de données RDS Custom, vous devez fournir l'ID de profil d'instance.

Créer manuellement votre profil d'instance et de rôle IAM

La configuration est plus simple lorsque vous utilisez CloudFormation. Toutefois, vous pouvez aussi configurer IAM manuellement. Pour une configuration manuelle, procédez comme suit :

Étape 1 : création du rôle IAM AWSRDSCustomInstanceRoleForRdsCustomInstance

Au cours de cette étape, vous créez le rôle à l'aide du format de dénomination AWSRDSCustomInstanceRole-region. L'utilisation de la stratégie d'approbation permet à Amazon EC2 d'assumer le rôle. L'exemple suivant suppose que vous avez défini la variable d'environnement $REGION sur la Région AWS dans laquelle vous souhaitez créer votre instance de base de données.

aws iam create-role \ --role-name AWSRDSCustomInstanceRole-$REGION \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" } } ] }'

Étape 2 : ajouter une politique d'accès à AWSRDSCustomInstanceRoleForRdsCustomInstance

Lorsque vous intégrez une stratégie en ligne à un rôle IAM, celle-ci est utilisée comme une partie de la stratégie d'accès du rôle (autorisations). Vous créez la stratégie AWSRDSCustomIamRolePolicy qui autorise Amazon EC2 à envoyer et recevoir des messages, et à effectuer différentes actions.

L'exemple suivant crée la stratégie d'accès nommée AWSRDSCustomIamRolePolicy, et l'ajoute au rôle IAM AWSRDSCustomInstanceRole-region. Cet exemple suppose que vous avez défini les variables d'environnement suivantes :

$REGION

Définissez cette variable sur la Région AWS dans laquelle vous prévoyez de créer votre instance de base de données.

$ACCOUNT_ID

Définissez cette variable sur votre numéro de Compte AWS.

$KMS_KEY

Définissez cette variable sur l'Amazon Resource Name (ARN) de la AWS KMS key que vous souhaitez utiliser pour vos instances de base de données RDS Custom. Pour spécifier d'autres clés KMS, ajoutez-les à la section Resources de l'ID d'instruction (Sid) 11.

aws iam put-role-policy \ --role-name AWSRDSCustomInstanceRole-$REGION \ --policy-name AWSRDSCustomIamRolePolicy \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "1", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetDocument", "ssm:DescribeDocument", "ssm:GetManifest", "ssm:GetParameter", "ssm:GetParameters", "ssm:ListAssociations", "ssm:ListInstanceAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation", "ssm:GetConnectionStatus", "ssm:DescribeInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": [ "*" ] }, { "Sid": "2", "Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": [ "*" ] }, { "Sid": "3", "Effect": "Allow", "Action": [ "logs:PutRetentionPolicy", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*" ] }, { "Sid": "4", "Effect": "Allow", "Action": [ "s3:putObject", "s3:getObject", "s3:getObjectVersion" ], "Resource": [ "arn:aws:s3:::do-not-delete-rds-custom-*/*" ] }, { "Sid": "5", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": [ "RDSCustomForOracle/Agent" ] } } }, { "Sid": "6", "Effect": "Allow", "Action": [ "events:PutEvents" ], "Resource": [ "*" ] }, { "Sid": "7", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*" ] }, { "Sid": "8", "Effect": "Allow", "Action": [ "s3:ListBucketVersions" ], "Resource": [ "arn:aws:s3:::do-not-delete-rds-custom-*" ] }, { "Sid": "9", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/AWSRDSCustom": "custom-oracle" } } }, { "Sid": "10", "Effect": "Allow", "Action": "ec2:CreateSnapshots", "Resource": [ "arn:aws:ec2:*::snapshot/*" ] }, { "Sid": "11", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": [ "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'" ] }, { "Sid": "12", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*", "Condition": { "StringLike": { "ec2:CreateAction": [ "CreateSnapshots" ] } } } ] }'

Étape 3 : Création du profil d'instance personnalisé RDS AWSRDSCustomInstanceProfile

Un profil d'instance est un conteneur qui inclut un rôle IAM unique. RDS Custom utilise le profil d'instance pour transmettre le rôle à l'instance.

Si vous utilisez l'interface de ligne de commande pour créer un rôle, vous devez créer le rôle et le profil d'instance sous la forme d'actions distinctes et leur attribuer éventuellement des noms différents. Créez votre profil d'instance IAM comme suit, en le nommant avec le format AWSRDSCustomInstanceProfile-region. L'exemple suivant suppose que vous avez défini la variable d'environnement $REGION sur la Région AWS dans laquelle vous souhaitez créer votre instance de base de données.

aws iam create-instance-profile \ --instance-profile-name AWSRDSCustomInstanceProfile-$REGION

Étape 4 : Ajouter AWSRDSCustomInstanceRoleForRdsCustomInstance à AWSRDSCustomInstanceProfile

Ajoutez votre rôle IAM au profil d'instance que vous avez créé précédemment. L'exemple suivant suppose que vous avez défini la variable d'environnement $REGION sur la Région AWS dans laquelle vous souhaitez créer votre instance de base de données.

aws iam add-role-to-instance-profile \ --instance-profile-name AWSRDSCustomInstanceProfile-$REGION \ --role-name AWSRDSCustomInstanceRole-$REGION

Étape 5 : accordez les autorisations requises à votre utilisateur ou à votre rôle IAM

Assurez-vous que le principal IAM (utilisateur ou rôle) qui crée l'instance de base de données personnalisée CEV ou RDS applique l'une des politiques suivantes :

  • La stratégie AdministratorAccess

  • La AmazonRDSFullAccess politique avec les autorisations requises pour Amazon S3 et CEVAWS KMS, ainsi que pour la création d'instances de base de données

Autorisations IAM requises pour Amazon S3 et AWS KMS

Pour créer des CEV ou RDS Custom pour les instances de base de données Oracle, votre principal IAM doit accéder à Amazon S3 et. AWS KMS L'exemple de politique JSON suivant accorde les autorisations requises.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateS3Bucket", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy", "s3:PutBucketObjectLockConfiguration", "s3:PutBucketVersioning" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*" }, { "Sid": "CreateKmsGrant", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] }

Pour plus d'informations sur l'autorisation kms:CreateGrant, consultez Gestion AWS KMS key.

Autorisations IAM requises pour créer une CEV

Pour créer un CEV, votre principal IAM a besoin des autorisations supplémentaires suivantes :

s3:GetObjectAcl s3:GetObject s3:GetObjectTagging s3:ListBucket mediaimport:CreateDatabaseBinarySnapshot

L'exemple de politique JSON suivant accorde les autorisations supplémentaires nécessaires pour accéder au bucket my-custom-installation-fileset à son contenu.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessToS3MediaBucket", "Effect": "Allow", "Action": [ "s3:GetObjectAcl", "s3:GetObject", "s3:GetObjectTagging", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my-custom-installation-files", "arn:aws:s3:::my-custom-installation-files/*" ] }, { "Sid": "PermissionForByom", "Effect": "Allow", "Action": [ "mediaimport:CreateDatabaseBinarySnapshot" ], "Resource": "*" } ] }

Vous pouvez également accorder des autorisations similaires pour Simple Storage Service (Amazon S3) aux comptes appelants à l'aide d'une politique de compartiment S3.

Autorisations IAM requises pour créer une instance de base de données depuis une CEV

Pour créer une instance de base de données RDS Custom pour Oracle à partir d'un CEV existant, le principal IAM a besoin des autorisations supplémentaires suivantes.

iam:SimulatePrincipalPolicy cloudtrail:CreateTrail cloudtrail:StartLogging

L'exemple de politique JSON suivant accorde les autorisations nécessaires pour valider un rôle IAM et journaliser des informations dans un AWS CloudTrail.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ValidateIamRole", "Effect": "Allow", "Action": "iam:SimulatePrincipalPolicy", "Resource": "*" }, { "Sid": "CreateCloudTrail", "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:StartLogging" ], "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*" } ] }

Étape 6 : Configuration de votre VPC pour RDS Custom pour Oracle

Votre instance de base de données RDS Custom se trouve dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC, tout comme une instance Amazon EC2 ou une instance Amazon RDS. Vous fournissez et configurez votre propre VPC. Contrairement à RDS Custom for SQL Server, RDS Custom for Oracle ne crée pas de liste de contrôle d'accès ni de groupes de sécurité. Vous devez associer votre propre groupe de sécurité, vos sous-réseaux et vos tables de routage.

Vous pouvez configurer votre cloud privé virtuel (VPC) à l'aide de l'un CloudFormation ou l'autre processus manuel.

Important

Nous vous recommandons fortement de configurer votre environnement RDS Custom for Oracle à l'aide d'AWS CloudFormation. Cette technique est la plus simple et la moins sujette aux erreurs.

Configurez votre VPC à l'aide de CloudFormation (recommandé)

Si vous avez déjà configuré votre VPC pour un autre moteur RDS Custom et que vous voulez réutiliser le VPC existant, ignorez cette étape. Cette section suppose ce qui suit :

  • Vous l'avez déjà utilisé CloudFormation pour créer votre profil et votre rôle d'instance IAM.

  • Vous connaissez l'ID de votre table de routage.

    Pour qu'une instance de base de données soit privée, elle doit se trouver dans un sous-réseau privé. Pour qu'un sous-réseau soit privé, il ne doit pas être associé à une table de routage comportant une passerelle Internet par défaut. Pour plus d'informations, consultez Configuration des tables de routage dans le Guide de l'utilisateur d'Amazon VPC.

Lorsque vous utilisez le CloudFormation modèle pour votre VPC, il crée les ressources suivantes :

  • Un VPC privé

  • Un groupe de sous-réseaux nommé rds-custom-private

  • Les points de terminaison VPC suivants, avec lesquels votre instance de base de données communique, dépendent : Services AWS

    • com.amazonaws.region.ec2messages

    • com.amazonaws.region.events

    • com.amazonaws.region.logs

    • com.amazonaws.region.monitoring

    • com.amazonaws.region.s3

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.ssm

    • com.amazonaws.region.ssmmessages

    Note

    Pour une configuration réseau complexe avec des comptes existants, nous vous recommandons de configurer manuellement l'accès aux services dépendants si aucun accès n'existe déjà. Pour plus d'informations, consultez Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS.

Pour configurer votre VPC à l'aide de CloudFormation
  1. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Lancez l'assistant Créer une pile et choisissez Créer une pile, puis Avec de nouvelles ressources (standard).

  3. Sur la page Créer une pile, procédez de la manière suivante :

    1. Pour Préparer le modèle, choisissez Le modèle est prêt.

    2. Pour Source du modèle, choisissez Charger un fichier de modèle.

    3. Pour Choisir un fichier, accédez à custom-vpc.json et sélectionnez ce fichier.

    4. Choisissez Suivant.

  4. Sur la page Spécifier les détails de la pile, procédez comme suit :

    1. Dans le champ Nom de la pile, saisissez custom-vpc.

    2. Pour Paramètres, sélectionnez les sous-réseaux privés à utiliser pour les instances de base de données RDS Custom.

    3. Choisissez l'ID du VPC privé à utiliser pour les instances de base de données RDS Custom.

    4. Indiquez la table de routage associée aux sous-réseaux privés.

    5. Choisissez Next (Suivant).

  5. Sur la page Configurer les options de pile, choisissez Suivant.

  6. Sur la page Vérifier custom-vpc, choisissez Envoyer.

    CloudFormation configure votre VPC privé. Dans le volet de gauche, lorsque custom-vpc affiche CREATE_COMPLETE, passez à l'étape suivante.

  7. (Facultatif) Vérifiez les détails de votre VPC. Dans le volet Piles, choisissez custom-vpc. Dans le volet de droite, procédez de la façon suivante :

    1. Choisissez Informations sur la pile. Votre pile possède un ID au format arn:aws:cloudformation:region:account-no:stack/custom-vpc/identifier.

    2. Sélectionnez Ressources. Vous devriez voir un groupe de sous-réseaux nommé rds-custom-privateet plusieurs points de terminaison VPC utilisant le format de dénomination vpce-string. Chaque point de terminaison correspond à un Service AWS avec lequel RDS Custom doit communiquer. Pour plus d'informations, consultez Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS.

    3. Choisissez Parameters (Paramètres). Vous devriez voir les sous-réseaux privés, le VPC privé et la table de routage que vous avez spécifiés lors de la création de la pile. Lorsque vous créez une instance de base de données, vous devez fournir l'ID du VPC et le groupe de sous-réseaux.

Configurez votre VPC manuellement pour RDS Custom for Oracle

Au lieu d'automatiser la création de VPC AWS CloudFormation avec, vous pouvez configurer votre VPC manuellement. Cette option peut être la meilleure lorsque vous disposez d'une configuration réseau complexe qui utilise des ressources existantes.

Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS

RDS Custom envoie la communication de votre instance de base de données vers d'autres Services AWS. Assurez-vous que les services suivants sont accessibles depuis le sous-réseau dans lequel vous créez vos instances de base de données RDS Custom pour Oracle :

  • Amazon CloudWatch

  • Amazon CloudWatch Logs

  • CloudWatch Événements Amazon

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Si l'accès à ce qui précède Services AWS n'existe pas actuellement, configurez les points de terminaison VPC suivants :

  • com.amazonaws.region.ec2messages

  • com.amazonaws.region.events

  • com.amazonaws.region.logs

  • com.amazonaws.region.monitoring

  • com.amazonaws.region.s3

  • com.amazonaws.region.secretsmanager

  • com.amazonaws.region.ssmmessages

Si RDS Custom ne parvient pas à communiquer avec les services nécessaires, il publie l'événement suivant :

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.

Pour éviter les erreurs incompatible-network, assurez-vous que les composants du VPC impliqués dans la communication entre votre instance de base de données RDS Custom et les Services AWS répondent aux exigences suivantes :

  • L'instance de base de données peut établir des connexions sortantes sur le port 443 vers d'autres Services AWS.

  • Le VPC autorise les réponses entrantes aux demandes provenant de votre instance de base de données RDS Custom.

  • RDS Custom peut correctement résoudre les noms de domaine des points de terminaison pour chaque Service AWS.

RDS Custom s'appuie sur la connectivité AWS Systems Manager pour son automatisation. Pour plus d'informations sur la configuration des points de terminaison d'un VPC, consultez Création de points de terminaison de VPC pour Systems Manager. Pour obtenir la liste des points de terminaison dans chaque Région, veuillez consulter Points de terminaison et quotas AWS Systems Manager dans la Référence générale d'Amazon Web Services.

Si vous avez déjà configuré un VPC pour un moteur de base de données RDS Custom différent, vous pouvez réutiliser ce VPC et ignorer ce processus.

Configuration du service des métadonnées d'instance

Assurez-vous que votre instance peut effectuer les opérations suivantes :

  • Accéder au service des métadonnées d'instance à l'aide de la version 2 du service de métadonnées d'instance (IMDSv2).

  • Autoriser les communications sortantes via le port 80 (HTTP) vers l'adresse IP de la liaison IMDS.

  • Demander des métadonnées d'instance de http://169.254.169.254, la liaison IMDSv2.

Pour plus d'informations, consultez Utiliser IMDSv2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Par défaut, l'automatisation de RDS Custom for Oracle utilise IMDSv2 en définissant HttpTokens=enabledsur l'instance Amazon EC2 sous-jacente. Vous pouvez toutefois utiliser IMDSv1 si vous le souhaitez. Pour de plus amples informations, consultez Configurer les options de métadonnées d'instance dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.