Configuration de votre environnement pour Amazon RDS Custom for SQL Server - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de votre environnement pour Amazon RDS Custom for SQL Server

Avant de créer et de t degérer une instance de base de données Amazon RDS Custom for SQL Server, vous devez effectuer les tâches suivantes.

Conditions préalables à la configuration de RDS Custom for SQL Server

Avant de créer une instance de base de données RDS Custom for SQL Server, assurez-vous que votre environnement satisfait aux exigences décrites dans cette rubrique. Dans le cadre de ce processus de configuration, assurez-vous de configurer les conditions préalables suivantes :

  • Configurez les utilisateurs et les rôles AWS Identity and Access Management (IAM) spécifiés.

    Ils sont utilisés pour créer une instance de base de données RDS Custom ou transmis en tant que paramètre dans une demande de création.

  • Assurez-vous qu'aucune politique de contrôle des services (SCP) ne restreint les autorisations au niveau du compte.

    Si le compte que vous utilisez fait partie d'une organisation AWS, des politiques de contrôle des services (SCP) peuvent restreindre les autorisations au niveau du compte. Assurez-vous que les SCP ne limitent pas les autorisations sur les utilisateurs et les rôles que vous créez à l'aide des procédures suivantes.

    Pour de plus amples informations sur les SCP, veuillez consulter Politiques de contrôle de service (SCP) dans le Guide de l'utilisateur AWS Organizations. Utilisez la commande AWS CLI describe-organization pour vérifier si votre compte fait partie d'une organisation AWS.

    Pour plus d'informations sur AWS Organizations, consultez Qu'est-ce qu'AWS ? dans le Guide de l'utilisateur AWS Organizations.

Note

Pour un step-by-step didacticiel sur la configuration des prérequis et le lancement d'Amazon RDS Custom pour SQL Server, consultez le billet de blog Commencer avec Amazon RDS Custom pour SQL Server à l'aide d'un CloudFormation modèle (Configuration réseau)

Pour chaque tâche, les exigences et limites qui lui sont propres sont décrites. Par exemple, lorsque vous créez votre instance de base de données RDS Custom for SQL Server, utilisez l'une des instances SQL Server répertoriées dans la section Prise en charge de la classe d'instance de base de données pour RDS Custom for SQL Server.

Pour connaître les exigences générales applicables à RDS Custom for SQL Server, consultez Exigences générales pour RDS Custom for SQL Server.

Télécharger et installer AWS CLI

AWS fournit une interface de ligne de commande pour utiliser les fonctions RDS Custom. Vous pouvez utiliser la version 1 ou 2 d'AWS CLI.

Pour plus d'informations sur le téléchargement et l'installation d'AWS CLI, consultez la section Installing or updating the latest version of the AWS CLI (Installation ou mise à jour de la version la plus récente AWS CLI).

Ignorez cette étape si l'une des conditions suivantes est vraie :

  • Vous envisagez d'accéder à RDS Custom uniquement à partir de la AWS Management Console.

  • Vous avez déjà téléchargé l'AWS CLI pour Amazon RDS ou un autre moteur RDS Custom.

Accorder les autorisations requises à votre principal IAM

Vous utilisez un rôle IAM ou un utilisateur IAM (appelé principal IAM) pour créer une instance de base de données RDS Custom for SQL Server à l'aide de la console ou de l'interface de ligne de commande. Ce principal IAM doit disposer de l'une des politiques suivantes pour que la création de l'instance de base de données aboutisse :

  • La stratégie AdministratorAccess

  • La politique AmazonRDSFullAccess avec les autorisations supplémentaires suivantes :

    iam:SimulatePrincipalPolicy cloudtrail:CreateTrail cloudtrail:StartLogging s3:CreateBucket s3:PutBucketPolicy s3:PutBucketObjectLockConfiguration s3:PutBucketVersioning kms:CreateGrant kms:DescribeKey

    Pour plus d'informations sur l'autorisation kms:CreateGrant, consultez Gestion AWS KMS key.

L'exemple de politique JSON suivant accorde les autorisations requises.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ValidateIamRole", "Effect": "Allow", "Action": "iam:SimulatePrincipalPolicy", "Resource": "*" }, { "Sid": "CreateCloudTrail", "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:StartLogging" ], "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*" }, { "Sid": "CreateS3Bucket", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy", "s3:PutBucketObjectLockConfiguration", "s3:PutBucketVersioning" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*" }, { "Sid": "CreateKmsGrant", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] }

En outre, le principal IAM exige l'autorisation iam:PassRole sur le rôle IAM. Elle doit être attachée au profil d'instance transmis dans le paramètre custom-iam-instance-profile de la demande de création de l'instance de base de données RDS Custom. Le profil d'instance et son rôle attaché sont créés ultérieurement dans Configuration du réseau, du profil d'instance et du chiffrement.

Assurez-vous que les autorisations répertoriées précédemment ne sont pas restreintes par les politiques de contrôle des services (SCP), les limites d'autorisation ou les politiques de session associées au principal IAM.

Configuration du réseau, du profil d'instance et du chiffrement

Vous pouvez configurer le rôle de votre profil d'instance IAM, le cloud privé virtuel (VPC) et la clé de chiffrement symétrique AWS KMS à l'aide de l'un des processus suivants :

Si votre compte fait partie d'une organisation AWS, assurez-vous que les autorisations requises par le rôle de profil d'instance ne sont pas limitées par les politiques de contrôle des services (SCP).

Les configurations réseau suivantes sont conçues pour donner les meilleurs résultats avec les instances de base de données qui ne sont pas accessibles publiquement. En d'autres termes, vous ne pouvez pas vous connecter directement à l'instance de base de données en dehors du VPC.

Configuration avec AWS CloudFormation

Pour simplifier la configuration, vous pouvez utiliser un fichier AWS CloudFormation modèle pour créer une CloudFormation pile. Pour savoir comment créer des piles, veuillez consulter Création d'une pile via la console AWS CloudFormation dans le Guide de l'utilisateur AWS CloudFormation.

Pour un tutoriel sur la façon de lancer Amazon RDS Custom for SQL Server à l'aide d'un modèle AWS CloudFormation, consultez Get started with Amazon RDS Custom for SQL Server using an AWS CloudFormation template (Bien démarrer avec Amazon RDS Custom for SQL Server à l'aide d'un modèle CloudFormation) dans AWS Database Blog.

Ressources créées par CloudFormation

La création réussie de la CloudFormation pile crée les ressources suivantes dans votre Compte AWS :

  • Clé KMS de chiffrement symétrique pour le chiffrement des données gérées par RDS Custom.

  • Profil d'instance et rôle IAM associé à attacher aux instances RDS Custom.

  • VPC avec la plage CIDR spécifiée comme paramètre. CloudFormation La valeur par défaut est 10.0.0.0/16.

  • Deux sous-réseaux privés avec la plage CIDR spécifiée dans les paramètres, et deux zones de disponibilité différentes dans la Région AWS. Les valeurs par défaut des CIDR de sous-réseau sont 10.0.128.0/20 et 10.0.144.0/20.

  • Jeu d'options DHCP pour le VPC avec résolution de nom de domaine sur un serveur Amazon Domain Name System (DNS).

  • Table de routage à associer à deux sous-réseaux privés sans accès à Internet.

  • Liste de contrôle d'accès (ACL) réseau à associer à deux sous-réseaux privés et accès restreint à HTTPS.

  • Groupe de sécurité VPC à associer à l'instance RDS Custom. L'accès est restreint pour le protocole HTTPS sortant aux points de terminaison de Service AWS requis par RDS Custom.

  • Groupe de sécurité VPC à associer aux points de terminaison du VPC créés pour les points de terminaison de Service AWS requis par RDS Custom.

  • Groupe de sous-réseaux de base de données dans lequel les instances RDS Custom sont créées.

  • Points de terminaison de VPC pour chacun des points de terminaison de Service AWS requis par RDS Custom.

Utilisez les procédures suivantes pour créer la CloudFormation pile pour RDS Custom pour SQL Server.

Téléchargement du fichier de modèle

Pour télécharger le fichier de modèle
  1. Ouvrez le menu contextuel (clic droit) du lien custom-sqlserver-onboard.zip et choisissez Enregistrer le lien sous.

  2. Enregistrez et extrayez le fichier de votre ordinateur.

Configuration des ressources à l'aide de CloudFormation

Pour configurer les ressources à l'aide de CloudFormation
  1. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Pour lancer l'assistant de création de piles, choisissez Create Stack (Créer une pile).

    La page Create stack (Créer une pile) s'affiche.

  3. Pour Prerequisite - Prepare template (Prérequis – Préparer le modèle), choisissez Template is ready (Le modèle est prêt).

  4. Pour Specify template (Spécifier un modèle), procédez comme suit :

    1. Pour Source du modèle, choisissez Charger un fichier de modèle.

    2. Pour Choisir un fichier, accédez au bon fichier et sélectionnez-le.

  5. Choisissez Suivant.

    La page Specify stack details (Spécifier les détails de la pile) s'affiche.

  6. Dans le champ Nom de la pile, saisissez rds-custom-sqlserver.

  7. Pour Parameters (Paramètres), procédez comme suit :

    1. Pour conserver les options par défaut, choisissez Next (Suivant).

    2. Pour modifier les options, choisissez la plage de blocs CIDR appropriée pour le VPC et deux de ses sous-réseaux, puis choisissez Next (Suivant).

      Lisez attentivement la description de chaque paramètre avant de modifier les paramètres.

  8. Sur la page Configurer les options de pile, choisissez Suivant.

  9. Sur la page Review (Vérifier) rds-custom-sqlserver, procédez comme suit :

    1. Sous Capacités, cochez la case Je sais qu'AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés.

    2. Sélectionnez Créer la pile.

  10. (Facultatif) : Vous pouvez mettre à jour les autorisations SQS dans le rôle de profil d'instance.

    Si vous souhaitez déployer uniquement une instance de base de données mono-AZ, vous pouvez modifier le fichier CloudFormation modèle pour supprimer les autorisations SQS. Les autorisations SQS ne sont requises que pour un déploiement multi-AZ et permettent à RDS Custom for SQL Server d'appeler Amazon SQS pour effectuer des actions spécifiques. Comme elles ne sont pas requises pour un déploiement mono-AZ, vous pouvez choisir de supprimer ces autorisations afin de respecter le principe du moindre privilège.

    Si vous souhaitez configurer un déploiement multi-AZ, vous n'avez pas besoin de supprimer les autorisations SQS.

    Note

    Si vous supprimez les autorisations SQS et choisissez ultérieurement de passer à un déploiement multi-AZ, la création multi-AZ échouera. Vous devrez ajouter à nouveau les autorisations SQS avant de passer à un déploiement multi-AZ.

    Pour apporter cette modification facultative au CloudFormation modèle, ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation et modifiez le fichier modèle en supprimant les lignes suivantes :

    { "Sid": "SendMessageToSQSQueue", "Effect": "Allow", "Action": [ "SQS:SendMessage", "SQS:ReceiveMessage", "SQS:DeleteMessage", "SQS:GetQueueUrl" ], "Resource": [ { "Fn::Sub": "arn:${AWS::Partition}:sqs:${AWS::Region}:${AWS::AccountId}:do-not-delete-rds-custom-*" } ], "Condition": { "StringLike": { "aws:ResourceTag/AWSRDSCustom": "custom-sqlserver" } } }

CloudFormation crée les ressources requises par RDS Custom for SQL Server. Si la création de la pile échoue, consultez l'onglet Events (Événements) pour voir quelle création de ressource a échoué et le motif de l'échec.

L'onglet Sorties de cette CloudFormation pile de la console doit contenir des informations sur toutes les ressources à transmettre en tant que paramètres pour créer une instance de base de données RDS Custom for SQL Server. Assurez-vous d'utiliser le groupe de sécurité VPC et le groupe de sous-réseaux de base de données créés par CloudFormation pour les instances de base de données personnalisées RDS. Par défaut, RDS tente d'attacher le groupe de sécurité VPC par défaut, qui peut ne pas avoir l'accès dont vous avez besoin.

Note

Lorsque vous supprimez une CloudFormation pile, toutes les ressources créées par la pile sont supprimées à l'exception de la clé KMS. La clé KMS passe à l'état pending-deletion et est supprimée au bout de 30 jours. Pour conserver la clé KMS, effectuez une CancelKeyDeletionopération pendant la période de grâce de 30 jours.

Si vous aviez CloudFormation l'habitude de créer des ressources, vous pouvez ignorerConfiguration manuelle.

Configuration manuelle

Si vous choisissez de configurer les ressources manuellement, exécutez les tâches suivantes.

Note

Pour simplifier la configuration, vous pouvez utiliser le fichier AWS CloudFormation modèle pour créer une CloudFormation pile plutôt qu'une configuration manuelle. Pour plus d'informations, consultez Configuration avec AWS CloudFormation.

Vérifier qu'une clé de chiffrement AWS KMS symétrique est disponible

Une AWS KMS key de chiffrement symétrique est requise pour RDS Custom. Lorsque vous créez une instance de base de données RDS Custom for SQL Server, veillez à fournir l'identifiant de la clé KMS. Pour plus d'informations, consultez Création et connexion à une instance de base de données pour Amazon RDS Custom for SQL Server.

Vous avez les options suivantes :

  • Si vous disposez déjà d'une clé KMS gérée par le client dans votre Compte AWS, vous pouvez l'utiliser avec RDS Custom. Aucune action supplémentaire n'est nécessaire.

  • Si vous avez déjà créé une clé KMS de chiffrement symétrique gérée par le client pour un moteur RDS Custom différent, vous pouvez réutiliser la même clé KMS. Aucune action supplémentaire n'est nécessaire.

  • Si votre compte ne contient pas encore de clés de chiffrement KMS symétriques gérées par le client, créez-en une en suivant les instructions de la section Creating keys (Création de clés) dans le Guide du développeur AWS Key Management Service.

  • Si vous créez une instance de base de données personnalisée CEV ou RDS et que votre clé KMS se trouve dans un autre Compte AWS, assurez-vous d'utiliser l'AWS CLI. Vous ne pouvez pas utiliser la console AWS avec des clés KMS multicomptes.

Important

RDS Custom ne prend pas en charge les clés KMS gérées par AWS.

Veillez à ce que votre clé de chiffrement symétrique donne accès aux opérations kms:Decrypt et kms:GenerateDataKey au rôle AWS Identity and Access Management (IAM) dans votre profil d'instance IAM. Si votre compte contient une nouvelle clé de chiffrement symétrique, aucune modification n'est requise. Sinon, veillez à ce que la stratégie de votre clé de chiffrement symétrique puisse fournir l'accès à ces opérations.

Pour plus d'informations, consultez Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.

Création manuelle de votre profil d'instance et de votre rôle IAM

Pour utiliser RDS Custom for SQL Server, créez un profil d'instance IAM et un rôle IAM comme suit.

Pour créer le profil d'instance IAM et les rôles IAM pour RDS Custom for SQL Server
  1. Créez le rôle IAM nommé AWSRDSCustomSQLServerInstanceRole avec une stratégie d'approbation permettant à Amazon EC2 d'assumer ce rôle.

  2. Ajoutez une stratégie d'accès à AWSRDSCustomSQLServerInstanceRole.

  3. Créez un profil d'instance IAM pour RDS Custom for SQL Server nommé AWSRDSCustomSQLServerInstanceProfile.

  4. Ajoutez AWSRDSCustomSQLServerInstanceRole au profil d'instance.

Création du rôle AWSRDSCustomSQLServerInstanceRole IAM

L'exemple suivant crée le rôle AWSRDSCustomSQLServerInstanceRole. La stratégie d'approbation permet à Amazon EC2 d'assumer le rôle.

aws iam create-role \ --role-name AWSRDSCustomSQLServerInstanceRole \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" } } ] }'
Ajoutez une politique d'accès à AWSRDSCustomSQLServerInstanceRole

Lorsque vous intégrez une politique en ligne à un rôle, celle-ci est utilisée comme une partie de la politique d'accès du rôle (autorisations). Vous créez la politique AWSRDSCustomSQLServerIamRolePolicy qui permet à Amazon EC2 d'obtenir et de recevoir des messages, et d'effectuer différentes actions.

Assurez-vous que les autorisations de la stratégie d'accès ne sont pas restreintes par les SCP ou les limites d'autorisation associées au rôle de profil d'instance.

L'exemple suivant crée la stratégie d'accès nommée AWSRDSCustomSQLServerIamRolePolicy, et l'ajoute au rôle AWSRDSCustomSQLServerInstanceRole. Cet exemple suppose que les variables '$REGION', $ACCOUNT_ID et '$CUSTOMER_KMS_KEY_ID' ont été définies. '$CUSTOMER_KMS_KEY_ID' correspond à l'ID (et non à l'Amazon Resource Name (ARN)) de la clé KMS que vous avez définie dans Vérifier qu'une clé de chiffrement AWS KMS symétrique est disponible.

aws iam put-role-policy \ --role-name AWSRDSCustomSQLServerInstanceRole \ --policy-name AWSRDSCustomSQLServerIamRolePolicy \ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "ssmAgent1", "Effect": "Allow", "Action": [ "ssm:GetDeployablePatchSnapshotForInstance", "ssm:ListAssociations", "ssm:PutInventory", "ssm:PutConfigurePackageResult", "ssm:UpdateInstanceInformation", "ssm:GetManifest" ], "Resource": "*" }, { "Sid": "ssmAgent2", "Effect": "Allow", "Action": [ "ssm:ListInstanceAssociations", "ssm:PutComplianceItems", "ssm:UpdateAssociationStatus", "ssm:DescribeAssociation", "ssm:UpdateInstanceAssociationStatus" ], "Resource": "arn:aws:ec2:'$REGION':'$ACCOUNT_ID':instance/*", "Condition": { "StringLike": { "aws:ResourceTag/AWSRDSCustom": "custom-sqlserver" } } }, { "Sid": "ssmAgent3", "Effect": "Allow", "Action": [ "ssm:UpdateAssociationStatus", "ssm:DescribeAssociation", "ssm:GetDocument", "ssm:DescribeDocument" ], "Resource": "arn:aws:ssm:*:*:document/*" }, { "Sid": "ssmAgent4", "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*" }, { "Sid": "ssmAgent5", "Effect": "Allow", "Action": [ "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:GetEndpoint", "ec2messages:GetMessages", "ec2messages:SendReply" ], "Resource": "*" }, { "Sid": "ssmAgent6", "Effect": "Allow", "Action": [ "ssm:GetParameters", "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/*" }, { "Sid": "ssmAgent7", "Effect": "Allow", "Action": [ "ssm:UpdateInstanceAssociationStatus", "ssm:DescribeAssociation" ], "Resource": "arn:aws:ssm:*:*:association/*" }, { "Sid": "eccSnapshot1", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": [ "arn:aws:ec2:'$REGION':'$ACCOUNT_ID':volume/*" ], "Condition": { "StringLike": { "aws:ResourceTag/AWSRDSCustom": "custom-sqlserver" } } }, { "Sid": "eccSnapshot2", "Effect": "Allow", "Action": "ec2:CreateSnapshot", "Resource": [ "arn:aws:ec2:'$REGION'::snapshot/*" ], "Condition": { "StringLike": { "aws:RequestTag/AWSRDSCustom": "custom-sqlserver" } } }, { "Sid": "eccCreateTag", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "*", "Condition": { "StringLike": { "aws:RequestTag/AWSRDSCustom": "custom-sqlserver", "ec2:CreateAction": [ "CreateSnapshot" ] } } }, { "Sid": "s3BucketAccess", "Effect": "Allow", "Action": [ "s3:putObject", "s3:getObject", "s3:getObjectVersion", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::do-not-delete-rds-custom-*/*" ] }, { "Sid": "customerKMSEncryption", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": [ "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$CUSTOMER_KMS_KEY_ID'" ] }, { "Sid": "readSecretsFromCP", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*" ], "Condition": { "StringLike": { "aws:ResourceTag/AWSRDSCustom": "custom-sqlserver" } } }, { "Sid": "publishCWMetrics", "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "rdscustom/rds-custom-sqlserver-agent" } } }, { "Sid": "putEventsToEventBus", "Effect": "Allow", "Action": "events:PutEvents", "Resource": "arn:aws:events:'$REGION':'$ACCOUNT_ID':event-bus/default" }, { "Sid": "cwlOperations1", "Effect": "Allow", "Action": [ "logs:PutRetentionPolicy", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance-*" }, { "Condition": { "StringLike": { "aws:ResourceTag/AWSRDSCustom": "custom-sqlserver" } }, "Action": [ "SQS:SendMessage", "SQS:ReceiveMessage", "SQS:DeleteMessage", "SQS:GetQueueUrl" ], "Resource": [ "arn:aws:sqs:'$REGION':'$ACCOUNT_ID':do-not-delete-rds-custom-*" ], "Effect": "Allow", "Sid": "SendMessageToSQSQueue" } ] }'
Création de votre profil d'instance RDS Custom for SQL Server

Créez votre profil d'instance comme suit, en le nommant AWSRDSCustomSQLServerInstanceProfile.

aws iam create-instance-profile \ --instance-profile-name AWSRDSCustomSQLServerInstanceProfile
Ajoutez AWSRDSCustomSQLServerInstanceRole à votre profil d'instance RDS Custom pour SQL Server

Ajoutez le rôle AWSRDSCustomInstanceRoleForRdsCustomInstance au profil AWSRDSCustomSQLServerInstanceProfile.

aws iam add-role-to-instance-profile \ --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \ --role-name AWSRDSCustomSQLServerInstanceRole

Configuration manuelle de votre VPC

Votre instance de base de données RDS Custom se trouve dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC, tout comme une instance Amazon EC2 ou une instance Amazon RDS. Vous fournissez et configurez votre propre VPC. Vous disposez ainsi d'un contrôle total sur la configuration réseau de votre instance.

RDS Custom envoie la communication de votre instance de base de données vers d'autres Services AWS. Assurez-vous que les services suivants sont accessibles depuis le sous-réseau dans lequel vous créez vos instances de base de données RDS Custom pour Oracle :

  • Amazon CloudWatch

  • Amazon CloudWatch Logs

  • CloudWatch Événements Amazon

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Si l'accès à ce qui précède Services AWS n'existe pas actuellement, configurez les points de terminaison VPC suivants :

  • com.amazonaws.region.ec2messages

  • com.amazonaws.region.events

  • com.amazonaws.region.logs

  • com.amazonaws.region.monitoring

  • com.amazonaws.region.s3

  • com.amazonaws.region.secretsmanager

  • com.amazonaws.region.ssmmessages

Si RDS Custom ne parvient pas à communiquer avec les services nécessaires, il publie l'événement suivant :

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.

Pour éviter les erreurs incompatible-network, assurez-vous que les composants du VPC impliqués dans la communication entre votre instance de base de données RDS Custom et les Services AWS répondent aux exigences suivantes :

  • L'instance de base de données peut établir des connexions sortantes sur le port 443 vers d'autres Services AWS.

  • Le VPC autorise les réponses entrantes aux demandes provenant de votre instance de base de données RDS Custom.

  • RDS Custom peut correctement résoudre les noms de domaine des points de terminaison pour chaque Service AWS.

RDS Custom s'appuie sur la connectivité AWS Systems Manager pour son automatisation. Pour plus d'informations sur la configuration des points de terminaison d'un VPC, consultez Création de points de terminaison de VPC pour Systems Manager. Pour obtenir la liste des points de terminaison dans chaque Région, veuillez consulter Points de terminaison et quotas AWS Systems Manager dans la Référence générale d'Amazon Web Services.

Si vous avez déjà configuré un VPC pour un moteur de base de données RDS Custom différent, vous pouvez réutiliser ce VPC et ignorer ce processus.

Configurez vos groupes de sécurité VPC

Un groupe de sécurité agit comme un pare-feu virtuel pour une instance de VPC, et contrôle le trafic entrant et sortant. Une instance de base de données RDS Custom possède un groupe de sécurité par défaut qui la protège. Assurez-vous que votre groupe de sécurité autorise le trafic entre RDS Custom et d'autres Services AWS.

Pour configurer votre groupe de sécurité pour RDS Custom
  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc.

  2. Autorisez RDS Custom à utiliser le groupe de sécurité par défaut ou créez votre propre groupe de sécurité.

    Pour obtenir des instructions complètes, veuillez consulter Créer un groupe de sécurité qui autorise l'accès à votre instance de base de données dans votre VPC.

  3. Assurez-vous que votre groupe de sécurité autorise les connexions sortantes sur le port 443. RDS Custom a besoin de ce port pour communiquer avec des Services AWS dépendants.

  4. Si vous disposez d'un VPC privé et utilisez les points de terminaison du VPC, assurez-vous que le groupe de sécurité associé à l'instance de base de données autorise les connexions sortantes sur le port 443 vers les points de terminaison du VPC. Assurez-vous également que le groupe de sécurité associé au point de terminaison du VPC autorise les connexions entrantes sur le port 443 à partir de l'instance de base de données.

    Si les connexions entrantes ne sont pas autorisées, l'instance RDS Custom ne peut pas se connecter à AWS Systems Manager et aux points de terminaison et Amazon EC2. Pour en savoir plus, consultez Création d'un point de terminaison de cloud privé virtuel dans le Guide de l'utilisateur AWS Systems Manager.

Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité pour votre VPC dans le Guide du développeur Amazon VPC.

Configuration de points de terminaison pour les Services AWS dépendants

Assurez-vous que votre VPC autorise le trafic sortant vers les Services AWS suivants avec lesquels l'instance de base de données communique :

  • Amazon CloudWatch

  • Amazon CloudWatch Logs

  • CloudWatch Événements Amazon

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Nous vous recommandons d'ajouter des points de terminaison pour chaque service à votre VPC en suivant les instructions ci-dessous. Vous pouvez toutefois utiliser n'importe quelle solution permettant à votre VPC de communiquer avec des points de terminaison de service AWS. Vous pouvez, par exemple, utiliser la traduction d'adresses réseau (NAT) ou AWS Direct Connect.

Pour configurer des points de terminaison pour les Services AWS utilisés par RDS Custom
  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans la barre de navigation, utilisez le sélecteur Région pour choisir la Région AWS.

  3. Dans le panneau de navigation, choisissez Points de terminaison. Dans le volet principal, choisissez Create Endpoint (Créer un point de terminaison).

  4. Pour Service category (Catégorie de service), choisissez Services AWS.

  5. Pour Nom du service, choisissez le point de terminaison affiché dans le tableau.

  6. Pour VPC, choisissez votre VPC.

  7. Pour Subnets (Sous-réseaux), choisissez un sous-réseau pour chaque zone de disponibilité à inclure.

    Le point de terminaison d'un VPC peut s'étendre sur plusieurs zones de disponibilité. AWS crée une interface réseau Elastic pour le point de terminaison VPC dans chaque sous-réseau choisi. Chaque interface réseau possède un nom d'hôte DNS et une adresse IP privée.

  8. Pour Groupe de sécurité, sélectionnez ou créez un groupe de sécurité.

    Vous pouvez utiliser des groupes de sécurité pour contrôler l'accès à votre point de terminaison, comme si vous utilisiez un pare-feu. Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité pour votre VPC dans le Guide de l'utilisateur Amazon VPC.

  9. Vous pouvez éventuellement attacher une politique au point de terminaison du VPC. Les politiques de point de terminaison peuvent contrôler l'accès au Service AWS auquel vous vous connectez. La politique par défaut permet à toutes les demandes de passer par le point de terminaison. Si vous utilisez une politique personnalisée, assurez-vous que les demandes issues de l'instance de base de données sont autorisées dans la politique.

  10. Choisissez Créer un point de terminaison.

Le tableau suivant explique comment trouver la liste des points de terminaison dont votre VPC a besoin pour les communications sortantes.

Service Format du point de terminaison Notes et liens

AWS Systems Manager

Utilisez les formats de points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Pour obtenir la liste de tous les points de terminaison dans chaque région, consultez Points de terminaison et quotas AWS Systems Manager dans le Référence générale d'Amazon Web Services.

AWS Secrets Manager

Utilisez le format du point de terminaison secretsmanager.region.amazonaws.com.

Pour obtenir la liste de tous les points de terminaison dans chaque région, consultez Points de terminaison et quotas AWS Secrets Manager dans le Référence générale d'Amazon Web Services.

Amazon CloudWatch

Utilisez les formats de points de terminaison suivants :

  • Pour CloudWatch les métriques, utilisez monitoring.region.amazonaws.com

  • Pour les CloudWatch événements, utilisez events.region.amazonaws.com

  • Pour CloudWatch Logs, utilisez logs.region.amazonaws.com

Pour obtenir la liste des points de terminaison dans chaque région, consultez :

Amazon EC2

Utilisez les formats de points de terminaison suivants :

  • ec2.region.amazonaws.com

  • ec2messages.region.amazonaws.com

Pour obtenir la liste des points de terminaison dans chaque région, consultez Amazon Elastic Compute Cloud endpoints and quotas (Points de terminaison et quotas Amazon Elastic Compute Cloud) dans la Référence générale d'Amazon Web Services.

Amazon S3

Utilisez le format du point de terminaison s3.region.amazonaws.com.

Pour obtenir la liste des points de terminaison dans chaque région, consultez Amazon Simple Storage Service endpoints and quotas (Points de terminaison et quotas Amazon Simple Storage Service) dans la Référence générale d'Amazon Web Services.

Pour en savoir plus sur les points de terminaison de passerelle pour Amazon S3, consultez Points de terminaison pour Amazon S3 dans le Guide du développeur Amazon VPC.

Pour savoir comment créer un point d'accès, veuillez consulter Creating an Amazon S3 access point dans le Guide du développeur Amazon VPC.

Pour savoir comment créer des points de terminaison de passerelle pour Amazon S3, consultez la section Gateway VPC endpoints (Points de terminaison VPC de la passerelle).

Configuration du service des métadonnées d'instance

Assurez-vous que votre instance peut effectuer les opérations suivantes :

  • Accéder au service des métadonnées d'instance à l'aide de la version 2 du service de métadonnées d'instance (IMDSv2).

  • Autoriser les communications sortantes via le port 80 (HTTP) vers l'adresse IP de la liaison IMDS.

  • Demander des métadonnées d'instance de http://169.254.169.254, la liaison IMDSv2.

Pour plus d'informations, consultez Utiliser IMDSv2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.