Menyiapkan lingkungan Anda untuk Amazon RDS Custom for SQL Server

Sebelum Anda membuat dan mengelola instans DB untuk instans DB Amazon RDS Custom for SQL Server, pastikan untuk melakukan tugas-tugas berikut.

Daftar Isi

• Prasyarat untuk menyiapkan RDS Custom for SQL Server
  • Pembuatan profil instans otomatis menggunakan AWS Management Console
• Langkah 1: Berikan izin yang diperlukan untuk kepala sekolah IAM Anda
• Langkah 2: Konfigurasikan jaringan, profil contoh, dan enkripsi
  • Mengkonfigurasi dengan AWS CloudFormation
    • Parameter yang dibutuhkan oleh CloudFormation
    • Unduh file AWS CloudFormation templat
    • Mengkonfigurasi sumber daya menggunakan CloudFormation
  • Mengonfigurasi secara manual
    • Pastikan Anda memiliki kunci enkripsi AWS KMS simetris
    • Membuat profil instans dan peran IAM Anda secara manual
      • Buat peran AWSRDSCustomSQLServerInstanceRole IAM
      • Menambahkan kebijakan akses ke AWSRDSCustomSQLServerInstanceRole
      • Buat profil instans RDS Custom for SQL Server
      • Tambahkan AWSRDSCustomSQLServerInstanceRole ke profil instans Kustom untuk SQL Server RDS Anda
    • Mengonfigurasi VPC Anda secara manual
      • Konfigurasikan grup keamanan VPC
      • Konfigurasikan titik akhir untuk dependen Layanan AWS
      • Konfigurasikan layanan metadata instans
• Pembatasan lintas-instance

catatan

Untuk step-by-step tutorial tentang cara mengatur prasyarat dan meluncurkan Amazon RDS Custom for SQL Server, lihat Memulai Amazon RDS Custom for SQL Server menggunakan CloudFormation template (Pengaturan jaringan) dan Jelajahi prasyarat yang diperlukan untuk membuat Amazon RDS Custom for SQL Server instance.

Prasyarat untuk menyiapkan RDS Custom for SQL Server

Sebelum membuat instans DB RDS Custom for SQL Server, pastikan lingkungan Anda memenuhi persyaratan yang dijelaskan dalam topik ini. Anda juga dapat menggunakan CloudFormation template untuk mengatur prasyarat dalam Anda. Akun AWS Untuk informasi selengkapnya, lihat Mengkonfigurasi dengan AWS CloudFormation

Kustom RDS untuk SQL Server mengharuskan Anda mengonfigurasi prasyarat berikut:

• Konfigurasikan izin AWS Identity and Access Management (IAM) yang diperlukan untuk pembuatan instance. Ini adalah pengguna AWS Identity and Access Management (IAM) atau peran yang diperlukan untuk membuat create-db-instance permintaan ke RDS.

• Konfigurasikan sumber daya prasyarat yang diperlukan oleh RDS Custom untuk instans SQL Server DB:

  • Konfigurasikan AWS KMS kunci yang diperlukan untuk enkripsi instance RDS Custom. RDS Custom memerlukan kunci yang dikelola pelanggan pada saat pembuatan instance untuk enkripsi. Kunci KMS ARN, ID, alias ARN, atau nama alias diteruskan kms-key-id sebagai parameter dalam permintaan untuk membuat instance RDS Custom DB.

  • Konfigurasikan izin yang diperlukan di dalam RDS Custom untuk instans SQL Server DB. RDS Custom melampirkan profil instance ke instans DB saat pembuatan dan menggunakannya untuk otomatisasi dalam instans DB. Nama profil instance diatur ke custom-iam-instance-profile dalam permintaan pembuatan Kustom RDS. Anda dapat membuat profil instance dari AWS Management Console atau secara manual membuat profil instans Anda. Untuk informasi selengkapnya, lihat Pembuatan profil instans otomatis menggunakan AWS Management Console dan Membuat profil instans dan peran IAM Anda secara manual.

  • Konfigurasikan pengaturan jaringan sesuai persyaratan RDS Custom untuk SQL Server. Instans Kustom RDS berada di subnet (dikonfigurasi dengan grup subnet DB) yang Anda berikan saat pembuatan instans. Subnet ini harus memungkinkan instans Kustom RDS untuk berkomunikasi dengan layanan yang diperlukan untuk otomatisasi RDS.

catatan

Untuk persyaratan yang disebutkan di atas, pastikan tidak ada kebijakan kontrol layanan (SCP) yang membatasi izin tingkat akun.

Jika akun yang Anda gunakan adalah bagian dari Organisasi AWS , akun tersebut mungkin memiliki kebijakan kontrol layanan (SCP) yang membatasi izin tingkat akun. Pastikan SCP tidak membatasi izin pada pengguna dan peran yang Anda buat menggunakan prosedur berikut.

Untuk informasi selengkapnya tentang SCP, lihat Kebijakan kontrol layanan (SCP) dalam Panduan Pengguna AWS Organizations . Gunakan AWS CLI perintah deskripsikan organisasi untuk memeriksa apakah akun Anda adalah bagian dari Organisasi. AWS

Untuk informasi selengkapnya tentang AWS Organizations, lihat Apa itu AWS Organizations dalam Panduan AWS Organizations Pengguna.

Untuk persyaratan umum yang berlaku untuk RDS Custom for SQL Server, lihat Persyaratan umum untuk RDS Custom for SQL Server.

Pembuatan profil instans otomatis menggunakan AWS Management Console

RDS Custom mengharuskan Anda membuat dan mengonfigurasi profil instans untuk meluncurkan instans RDS Custom for SQL Server DB. Gunakan AWS Management Console untuk membuat dan melampirkan profil instance baru dalam satu langkah. Opsi ini tersedia di bawah bagian Keamanan kustom RDS di halaman Buat database, Kembalikan snapshot, dan Kembalikan ke titik di halaman konsol waktu. Pilih Buat profil instance baru untuk memberikan akhiran nama profil instance. AWS Management Console Membuat profil instance baru yang memiliki izin yang diperlukan untuk tugas otomatisasi Kustom RDS. Untuk membuat profil instans baru secara otomatis, AWS Management Console pengguna yang masuk harus memilikiiam:CreateInstanceProfile,, iam:AddRoleToInstanceProfileiam:CreateRole, dan izin. iam:AttachRolePolicy

catatan

Opsi ini hanya tersedia di AWS Management Console. Jika Anda menggunakan CLI atau SDK, gunakan CloudFormation template RDS Custom provided atau buat profil instance secara manual. Untuk informasi selengkapnya, lihat Membuat profil instans dan peran IAM Anda secara manual.

Langkah 1: Berikan izin yang diperlukan untuk kepala sekolah IAM Anda

Pastikan Anda memiliki akses yang cukup untuk membuat instance RDS Custom. Peran IAM atau pengguna IAM (disebut sebagai prinsipal IAM) untuk membuat instance RDS Custom for SQL Server DB menggunakan konsol atau CLI harus memiliki salah satu dari kebijakan berikut untuk keberhasilan pembuatan instans DB:

• Kebijakan AdministratorAccess

• Kebijakan AmazonRDSFullAccess dengan izin tambahan berikut:

  iam:SimulatePrincipalPolicy
  cloudtrail:CreateTrail
  cloudtrail:StartLogging
  s3:CreateBucket
  s3:PutBucketPolicy
  s3:PutBucketObjectLockConfiguration
  s3:PutBucketVersioning 
  kms:CreateGrant
  kms:DescribeKey

  RDS Custom menggunakan izin ini selama pembuatan instance. Izin ini mengonfigurasi sumber daya di akun Anda yang diperlukan untuk operasi Kustom RDS.

  Untuk informasi selengkapnya tentang izin kms:CreateGrant, lihat Manajemen AWS KMS key.

Contoh kebijakan JSON berikut memberikan izin yang diperlukan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Selain itu, prinsipal IAM memerlukan izin iam:PassRole pada peran IAM. Izin ini harus dilampirkan ke profil instans yang diteruskan dalam parameter custom-iam-instance-profile dalam permintaan untuk membuat instans DB RDS Custom. Profil instans dan peran terlampirnya dibuat nanti dalam Langkah 2: Konfigurasikan jaringan, profil contoh, dan enkripsi.

catatan

Pastikan izin yang tercantum sebelumnya tidak dibatasi oleh kebijakan kontrol layanan (SCP), batasan izin, atau kebijakan sesi yang terkait dengan prinsipal IAM.

Langkah 2: Konfigurasikan jaringan, profil contoh, dan enkripsi

Anda dapat mengonfigurasi peran profil instans IAM, virtual private cloud (VPC), AWS KMS dan kunci enkripsi simetris dengan menggunakan salah satu dari proses berikut:

• Mengkonfigurasi dengan AWS CloudFormation (direkomendasikan)

• Mengonfigurasi secara manual

catatan

Jika akun Anda adalah bagian dari akun apa pun AWS Organizations, pastikan bahwa izin yang diperlukan oleh peran profil instans tidak dibatasi oleh kebijakan kontrol layanan (SCP).

Konfigurasi jaringan dalam topik ini bekerja paling baik dengan instans DB yang tidak dapat diakses publik. Anda tidak dapat terhubung langsung ke instans DB tersebut dari luar VPC.

Mengkonfigurasi dengan AWS CloudFormation

Untuk menyederhanakan pengaturan, Anda dapat menggunakan file AWS CloudFormation template untuk membuat CloudFormation tumpukan. CloudFormation Template membuat semua jaringan, profil instance, dan sumber daya enkripsi sesuai dengan persyaratan RDS Custom.

Untuk mempelajari cara membuat tumpukan, lihat Membuat tumpukan di AWS CloudFormation konsol di Panduan AWS CloudFormation Pengguna.

Untuk tutorial tentang cara meluncurkan Amazon RDS Custom for SQL Server menggunakan AWS CloudFormation template, lihat Memulai Amazon RDS Custom for SQL Server menggunakan AWS CloudFormation template di Blog Database.AWS

Topik

• Parameter yang dibutuhkan oleh CloudFormation
• Unduh file AWS CloudFormation templat
• Mengkonfigurasi sumber daya menggunakan CloudFormation

Parameter yang dibutuhkan oleh CloudFormation

Parameter berikut diperlukan untuk mengonfigurasi sumber daya prasyarat Kustom RDS dengan: CloudFormation

Grup parameter	Nama parameter	nilai default	Deskripsi
Konfigurasi Ketersediaan	Pilih konfigurasi ketersediaan untuk penyiapan prasyarat	Multi-AZ	Tentukan apakah akan mengatur prasyarat dalam konfigurasi Single-AZ atau Multi-AZ untuk instans Kustom RDS. Anda harus menggunakan konfigurasi Multi-AZ jika Anda memerlukan setidaknya satu instans DB Multi-AZ dalam konfigurasi ini
Konfigurasi Jaringan	Blok IPv4 CIDR untuk VPC	10.0.0.0/16	Tentukan blok IPv4 CIDR (atau rentang alamat IP) untuk VPC Anda. VPC ini dikonfigurasi untuk membuat dan bekerja dengan instans RDS Custom DB.
	Blok IPv4 CIDR untuk 1 dari 2 subnet pribadi	10.0.128.0/20	Tentukan blok IPv4 CIDR (atau rentang alamat IP) untuk subnet pribadi pertama Anda. Ini adalah salah satu dari dua subnet di mana instance RDS Custom DB dapat dibuat. Ini adalah subnet pribadi tanpa akses ke internet.
	Blok IPv4 CIDR untuk 2 dari 2 subnet pribadi	10.0.144.0/20	Tentukan blok IPv4 CIDR (atau rentang alamat IP) untuk subnet pribadi kedua Anda. Ini adalah salah satu dari dua subnet di mana instance RDS Custom DB dapat dibuat. Ini adalah subnet pribadi tanpa akses ke internet.
	Blok IPv4 CIDR untuk subnet publik	10.0.0.0/20	Tentukan blok IPv4 CIDR (atau rentang alamat IP) untuk subnet publik Anda. Ini adalah salah satu subnet di mana instans EC2 dapat terhubung dengan instans RDS Custom DB dapat dibuat. Ini adalah subnet publik dengan akses ke internet.
Konfigurasi Akses RDP	IPv4 CIDR blok sumber Anda	‐	Tentukan blok IPv4 CIDR (atau rentang alamat IP) dari sumber Anda. Ini adalah rentang IP dari mana Anda membuat koneksi RDP ke instans EC2 di subnet publik. Jika tidak diatur, koneksi RDP ke instans EC2 tidak dikonfigurasi.
	Siapkan akses RDP ke RDS Kustom untuk instance SQL Server	Tidak	Tentukan apakah akan mengaktifkan koneksi RDP dari instans EC2 ke RDS Custom for SQL Server instance. Secara default, koneksi RDP dari instans EC2 ke instans DB tidak dikonfigurasi.

Sumber daya yang dibuat oleh CloudFormation

Berhasil membuat CloudFormation tumpukan menggunakan pengaturan default membuat sumber daya berikut di Akun AWS:

• Kunci KMS enkripsi simetris untuk enkripsi data yang dikelola oleh RDS Custom.

• Profil instans dikaitkan dengan peran IAM AmazonRDSCustomInstanceProfileRolePolicy untuk memberikan izin yang diperlukan oleh RDS Custom. Untuk informasi selengkapnya, lihat AmazonRDS CustomService RolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

• VPC dengan rentang CIDR ditentukan sebagai parameter. CloudFormation Nilai default-nya adalah 10.0.0.0/16.

• Dua subnet privat dengan rentang CIDR yang ditentukan dalam parameter, dan dua Zona Ketersediaan yang berbeda di Wilayah AWS. Nilai default untuk CIDR subnet adalah 10.0.128.0/20 dan 10.0.144.0/20.

• Satu subnet publik dengan rentang CIDR yang ditentukan dalam parameter. Nilai default untuk subnet CIDR adalah 10.0.0.0/20. Instans EC2 berada di subnet ini dan dapat digunakan untuk terhubung ke instans Kustom RDS.

• Opsi DHCP yang diatur untuk VPC dengan resolusi nama domain ke server Sistem Nama Domain (DNS) Amazon.

• Tabel rute untuk dikaitkan dengan dua subnet privat dan tanpa akses ke internet.

• Tabel rute untuk dikaitkan dengan subnet publik dan memiliki akses ke internet.

• Internet gateway yang terkait dengan VPC untuk memungkinkan akses internet ke subnet publik.

• Network Access Control List (ACL) untuk diasosiasikan dengan dua subnet pribadi dan akses dibatasi ke port HTTPS dan DB dalam VPC.

• Grup keamanan VPC untuk dikaitkan dengan instans RDS Custom. Akses dibatasi untuk HTTPS keluar ke Layanan AWS titik akhir yang diperlukan oleh RDS Custom dan port DB masuk dari grup keamanan instans EC2.

• Grup keamanan VPC akan dikaitkan dengan instans EC2 di subnet publik. Akses dibatasi untuk port DB keluar ke grup keamanan instans Kustom RDS.

• Grup keamanan VPC akan dikaitkan dengan titik akhir VPC yang dibuat untuk titik akhir yang diperlukan oleh RDS Layanan AWS Custom.

• Grup subnet DB tempat instans RDS Custom dibuat. Dua subnet pribadi yang dibuat oleh template ini ditambahkan ke grup subnet DB.

• Titik akhir VPC untuk setiap titik akhir yang diperlukan oleh Layanan AWS RDS Custom.

Menyetel konfigurasi ketersediaan ke multi-az akan membuat sumber daya berikut selain daftar di atas:

• Aturan ACL jaringan memungkinkan komunikasi antara subnet pribadi.

• Akses masuk dan keluar ke port Multi-AZ dalam grup keamanan VPC yang terkait dengan instans Kustom RDS.

• Titik akhir VPC ke titik akhir AWS layanan yang diperlukan untuk komunikasi multi-AZ.

Selain itu, pengaturan konfigurasi akses RDP menciptakan sumber daya berikut:

• Mengkonfigurasi akses RDP ke subnet publik dari alamat IP sumber Anda:

  • Aturan ACL jaringan yang memungkinkan koneksi RDP dari IP sumber Anda ke subnet publik.

  • Akses masuk ke port RDP dari IP sumber Anda ke grup keamanan VPC yang terkait dengan instans EC2.

• Mengkonfigurasi akses RDP dari instans EC2 di subnet publik ke Instans Kustom RDS di subnet pribadi:

  • Aturan ACL jaringan memungkinkan koneksi RDP dari subnet publik ke subnet pribadi.

  • Akses masuk ke port RDP dari grup keamanan VPC yang terkait dengan instans EC2 ke grup keamanan VPC yang terkait dengan Instans Kustom RDS.

Gunakan prosedur berikut untuk membuat CloudFormation tumpukan untuk RDS Custom for SQL Server.

Unduh file AWS CloudFormation templat

Untuk mengunduh file templat

1. Buka menu konteks (klik kanan) untuk custom-sqlserver-onboardtautan.zip dan pilih Simpan Tautan Sebagai.

2. Simpan dan ekstrak file ke komputer Anda.

Mengkonfigurasi sumber daya menggunakan CloudFormation

Untuk mengkonfigurasi sumber daya menggunakan CloudFormation

1. Buka CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

2. Untuk memulai wizard Buat Tumpukan, pilih Buat Tumpukan.

   Halaman Buat tumpukan muncul.

3. Untuk Prasyarat - Siapkan templat, pilih Template sudah siap.

4. Untuk Tentukan templat, lakukan hal berikut:

   1. Untuk Sumber templat, pilih Unggah file templat.

   2. Untuk Pilih file, navigasikan ke dan pilih file yang benar.

5. Pilih Berikutnya.

   Halaman Tentukan detail tumpukan muncul.

6. Untuk Nama tumpukan, masukkan rds-custom-sqlserver.

7. Untuk Parameter, lakukan hal berikut:

   1. Untuk mempertahankan opsi default, pilih Berikutnya.

   2. Untuk mengubah opsi, pilih konfigurasi ketersediaan yang sesuai, konfigurasi jaringan, dan konfigurasi akses RDP, lalu pilih Berikutnya.

      Baca deskripsi setiap parameter dengan cermat sebelum mengubah parameter.

   catatan

   Jika Anda memilih untuk membuat setidaknya satu instance Multi-AZ di CloudFormation tumpukan ini, pastikan parameter CloudFormation tumpukan Pilih konfigurasi ketersediaan untuk penyiapan prasyarat diatur ke. Multi-AZ Jika Anda membuat CloudFormation tumpukan sebagai Single-AZ, perbarui CloudFormation tumpukan ke konfigurasi Multi-AZ sebelum membuat instance Multi-AZ pertama.

8. Pada Konfigurasikan halaman opsi stack, pilih Berikutnya.

9. Pada rds-custom-sqlserver halaman Review, lakukan hal berikut:

   1. Untuk Kemampuan, pilih kotak centang Saya memahami bahwa AWS CloudFormation dapat membuat sumber daya IAM dengan nama kustom.

   2. Pilih Buat tumpukan.

catatan

Jangan memperbarui sumber daya yang dibuat dari AWS CloudFormation tumpukan ini langsung dari halaman sumber daya. Ini mencegah Anda menerapkan pembaruan masa depan ke sumber daya ini dengan menggunakan AWS CloudFormation templat.

CloudFormation menciptakan sumber daya yang dibutuhkan RDS Custom untuk SQL Server. Jika pembuatan tumpukan gagal, baca tab Peristiwa untuk melihat pembuatan sumber daya mana yang gagal dan alasan statusnya.

Tab Output untuk CloudFormation tumpukan ini di konsol harus memiliki informasi tentang semua sumber daya yang akan diteruskan sebagai parameter untuk membuat instance RDS Custom untuk SQL Server DB. Pastikan untuk menggunakan grup keamanan VPC dan grup subnet DB yang dibuat oleh CloudFormation untuk instans RDS Custom DB. Secara default, RDS mencoba melampirkan grup keamanan VPC default, yang mungkin tidak memiliki akses yang Anda butuhkan.

Jika Anda biasa CloudFormation membuat sumber daya, Anda dapat melewatiMengonfigurasi secara manual.

Memperbarui CloudFormation tumpukan

Anda juga dapat memperbarui beberapa konfigurasi pada CloudFormation tumpukan setelah pembuatan. Konfigurasi yang dapat diperbarui adalah:

• Konfigurasi Ketersediaan untuk RDS Kustom untuk SQL Server

  • Pilih konfigurasi ketersediaan untuk pengaturan prasyarat: Perbarui parameter ini untuk beralih antara konfigurasi Single-AZ dan Multi-AZ. Jika Anda menggunakan CloudFormation tumpukan ini untuk setidaknya satu instance Multi-AZ, Anda harus memperbarui tumpukan untuk memilih konfigurasi Multi-AZ.

• Konfigurasi Akses RDP untuk Kustom RDS untuk SQL Server

  • Blok IPv4 CIDR dari sumber Anda: Anda dapat memperbarui blok IPv4 CIDR (atau rentang alamat IP) sumber Anda dengan memperbarui parameter ini. Menyetel parameter ini menjadi kosong akan menghapus konfigurasi akses RDP dari blok CIDR sumber Anda ke subnet publik.

  • Setup akses RDP ke RDS Custom for SQL Server: Aktifkan atau nonaktifkan koneksi RDP dari instans EC2 ke RDS Custom for SQL Server instance.

Menghapus tumpukan CloudFormation

Anda dapat menghapus CloudFormation tumpukan setelah menghapus semua instance Kustom RDS yang menggunakan sumber daya dari tumpukan. RDS Custom tidak melacak CloudFormation tumpukan, oleh karena itu tidak memblokir penghapusan tumpukan ketika ada instance DB yang menggunakan sumber daya tumpukan. Pastikan tidak ada instans RDS Custom DB yang menggunakan sumber daya tumpukan saat menghapus tumpukan.

catatan

Saat Anda menghapus CloudFormation tumpukan, semua sumber daya yang dibuat oleh tumpukan akan dihapus kecuali kunci KMS. Kunci KMS masuk ke status penghapusan tertunda dan dihapus setelah 30 hari. Untuk menjaga kunci KMS, lakukan operasi CancelKeyPenghapusan selama masa tenggang 30 hari.

Mengonfigurasi secara manual

Jika Anda memilih untuk mengonfigurasi sumber daya secara manual, lakukan tugas berikut.

catatan

Untuk menyederhanakan pengaturan, Anda dapat menggunakan file AWS CloudFormation template untuk membuat CloudFormation tumpukan daripada konfigurasi manual. Untuk informasi selengkapnya, lihat Mengkonfigurasi dengan AWS CloudFormation.

Anda juga dapat menggunakan AWS CLI untuk menyelesaikan bagian ini. Jika demikian, unduh dan instal CLI terbaru.

Topik

• Pastikan Anda memiliki kunci enkripsi AWS KMS simetris
• Membuat profil instans dan peran IAM Anda secara manual
• Mengonfigurasi VPC Anda secara manual

Pastikan Anda memiliki kunci enkripsi AWS KMS simetris

Enkripsi simetris AWS KMS key diperlukan untuk RDS Custom. Saat Anda membuat instance RDS Custom for SQL Server DB, pastikan untuk menyediakan pengidentifikasi kunci KMS sebagai parameter. kms-key-id Untuk informasi selengkapnya, lihat Membuat dan menghubungkan ke instans DB untuk Amazon RDS Custom for SQL Server.

Anda memiliki opsi berikut:

• Jika Anda memiliki kunci KMS terkelola pelanggan yang ada di Anda Akun AWS, Anda dapat menggunakannya dengan RDS Custom. Tidak ada tindakan lebih lanjut yang diperlukan.

• Jika Anda telah membuat kunci KMS enkripsi simetris yang dikelola pelanggan untuk mesin RDS Custom yang berbeda, Anda dapat menggunakan kembali kunci KMS yang sama. Tidak ada tindakan lebih lanjut yang diperlukan.

• Jika Anda tidak memiliki kunci KMS enkripsi simetris yang dikelola pelanggan yang sudah ada di akun Anda, buat kunci KMS dengan mengikuti petunjuk dalam Membuat kunci dalam Panduan Developer AWS Key Management Service .

• Jika Anda membuat instans CEV atau RDS Custom DB, dan kunci KMS Anda berbeda Akun AWS, pastikan untuk menggunakan. AWS CLI Anda tidak dapat menggunakan AWS konsol dengan kunci KMS lintas akun.

penting

RDS Custom tidak mendukung kunci KMS AWS terkelola.

Pastikan kunci enkripsi simetris Anda memberikan akses ke kms:Decrypt dan kms:GenerateDataKey operasi ke peran AWS Identity and Access Management (IAM) di profil instans IAM Anda. Jika Anda memiliki kunci enkripsi simetris baru di akun Anda, perubahan tidak diperlukan. Jika tidak, pastikan kebijakan kunci enkripsi simetris Anda memberikan akses ke operasi ini.

Untuk informasi selengkapnya, lihat Langkah 4: Konfigurasikan IAM untuk RDS Custom for Oracle.

Membuat profil instans dan peran IAM Anda secara manual

Anda dapat membuat profil instans secara manual dan menggunakannya untuk meluncurkan instans RDS Custom. Jika Anda berencana untuk membuat instance di AWS Management Console, lewati bagian ini. AWS Management Console Ini memungkinkan Anda untuk membuat dan melampirkan profil instance ke instans RDS Custom DB Anda. Untuk informasi selengkapnya, lihat Pembuatan profil instans otomatis menggunakan AWS Management Console.

Saat Anda membuat profil instance secara manual, berikan nama profil instance sebagai custom-iam-instance-profile parameter ke perintah create-db-instance CLI Anda. RDS Custom menggunakan peran yang terkait dengan profil instance ini untuk menjalankan otomatisasi guna mengelola instance.

Untuk membuat profil instans IAM dan peran IAM untuk RDS Custom for SQL Server

1. Buat peran IAM bernama AWSRDSCustomSQLServerInstanceRole dengan kebijakan kepercayaan yang memungkinkan Amazon EC2 mengambil peran ini.

2. Tambahkan Kebijakan AWS Terkelola AmazonRDSCustomInstanceProfileRolePolicy keAWSRDSCustomSQLServerInstanceRole.

3. Buat profil instans IAM untuk RDS Custom for SQL Server yang bernama AWSRDSCustomSQLServerInstanceProfile.

4. Tambahkan peran AWSRDSCustomSQLServerInstanceRole ke profil instans.

Buat peran AWSRDSCustomSQLServerInstanceRole IAM

Contoh berikut membuat peran AWSRDSCustomSQLServerInstanceRole. Kebijakan kepercayaan memungkinkan Amazon EC2 mengambil peran tersebut.

aws iam create-role \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --assume-role-policy-document '{
        "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                  "Service": "ec2.amazonaws.com"
              }
            }
          ]
        }'

Menambahkan kebijakan akses ke AWSRDSCustomSQLServerInstanceRole

Untuk memberikan izin yang diperlukan, lampirkan kebijakan AWS terkelola AmazonRDSCustomInstanceProfileRolePolicy keAWSRDSCustomSQLServerInstanceRole. AmazonRDSCustomInstanceProfileRolePolicymemungkinkan instans Kustom RDS untuk mengirim dan menerima pesan, dan melakukan berbagai tindakan otomatisasi.

catatan

Pastikan izin dalam kebijakan akses tidak dibatasi oleh SCP atau batasan izin yang terkait dengan peran profil instans.

Contoh berikut melampirkan kebijakan AWS terkelola AWSRDSCustomSQLServerIamRolePolicy ke AWSRDSCustomSQLServerInstanceRole peran tersebut.

aws iam attach-role-policy \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy

Buat profil instans RDS Custom for SQL Server

Profil instans adalah kontainer yang menyertakan peran IAM tunggal. RDS Custom menggunakan profil instans untuk meneruskan peran ke instans.

Jika Anda menggunakan AWS Management Console untuk membuat peran Amazon EC2, konsol akan secara otomatis membuat profil instans dan memberinya nama yang sama dengan peran saat peran dibuat. Buat profil instans Anda sebagai berikut, dengan memberinya nama AWSRDSCustomSQLServerInstanceProfile.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile

Tambahkan AWSRDSCustomSQLServerInstanceRole ke profil instans Kustom untuk SQL Server RDS Anda

Tambahkan AWSRDSCustomInstanceRoleForRdsCustomInstance peran ke AWSRDSCustomSQLServerInstanceProfile profil yang dibuat sebelumnya.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \
    --role-name AWSRDSCustomSQLServerInstanceRole

Mengonfigurasi VPC Anda secara manual

Instans DB RDS Custom Anda berada di cloud privat virtual (VPC) yang didasarkan pada layanan Amazon VPC, seperti instans Amazon EC2 atau instans Amazon RDS. Anda menyediakan dan mengonfigurasi VPC Anda sendiri. Dengan demikian, Anda memiliki kontrol penuh atas pengaturan jaringan instans Anda.

RDS Custom mengirimkan komunikasi dari instans DB Anda ke Layanan AWS lain. Pastikan layanan berikut dapat diakses dari subnet tempat Anda membuat instans RDS Custom DB:

• Amazon CloudWatch

• CloudWatch Log Amazon

• CloudWatch Acara Amazon

• Amazon EC2

• Amazon EventBridge

• Amazon S3

• AWS Secrets Manager

• AWS Systems Manager

Jika membuat penerapan Multi-AZ

• Amazon Simple Queue Service

Jika RDS Custom tidak dapat berkomunikasi dengan layanan yang diperlukan, RDS Custom akan menerbitkan peristiwa berikut:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.

Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Untuk menghindari incompatible-network kesalahan, pastikan komponen VPC terlibat dalam komunikasi antara instans RDS Custom DB Anda dan Layanan AWS memenuhi persyaratan berikut:

• Instans DB dapat membuat koneksi keluar pada port 443 ke Layanan AWS lainnya.

• VPC mengizinkan respons masuk untuk permintaan yang berasal dari instans DB RDS Custom Anda.

• RDS Custom dapat secara tepat me-resolve nama domain titik akhir untuk masing-masing Layanan AWS.

Jika Anda sudah mengonfigurasi VPC untuk mesin DB RDS Custom yang berbeda, Anda dapat menggunakan kembali VPC tersebut dan melewati proses ini.

Topik

• Konfigurasikan grup keamanan VPC
• Konfigurasikan titik akhir untuk dependen Layanan AWS
• Konfigurasikan layanan metadata instans

Konfigurasikan grup keamanan VPC

Grup keamanan bertindak sebagai firewall virtual untuk instans VPC, yang mengontrol lalu lintas masuk dan keluar. Instans RDS Custom DB memiliki grup keamanan yang terpasang pada antarmuka jaringannya yang melindungi instance. Pastikan grup keamanan Anda mengizinkan lalu lintas antara RDS Custom dan lainnya Layanan AWS melalui HTTPS. Anda meneruskan grup keamanan ini sebagai vpc-security-group-ids parameter dalam permintaan pembuatan instance.

Untuk mengonfigurasi grup keamanan Anda untuk RDS Custom

1. Masuk ke AWS Management Console dan buka konsol VPC Amazon di https://console.aws.amazon.com/vpc.

2. Izinkan RDS Custom untuk menggunakan grup keamanan default, atau buat grup keamanan Anda sendiri.

   Untuk petunjuk mendetail, lihat Memberikan akses ke instans DB di VPC Anda dengan membuat grup keamanan.

3. Pastikan grup keamanan Anda mengizinkan koneksi keluar pada port 443. RDS Custom membutuhkan port ini untuk berkomunikasi dengan Layanan AWS dependen.

4. Jika Anda memiliki VPC privat dan menggunakan titik akhir VPC, pastikan grup keamanan yang terkait dengan instans DB mengizinkan koneksi keluar pada port 443 ke titik akhir VPC. Pastikan juga bahwa grup keamanan yang terkait dengan VPC mengizinkan koneksi masuk pada port 443 dari instans DB.

   Jika koneksi masuk tidak diizinkan, instans RDS Custom tidak dapat terhubung ke AWS Systems Manager dan titik akhir Amazon EC2. Untuk informasi selengkapnya, lihat Membuat titik akhir Cloud Privat Virtual dalam Panduan Pengguna AWS Systems Manager .

5. Untuk instans RDS Custom for SQL Server Multi-AZ, pastikan bahwa grup keamanan yang terkait dengan instans DB memungkinkan koneksi masuk dan keluar pada port 1120 ke grup keamanan ini sendiri. Ini diperlukan untuk koneksi peer host pada Multi-AZ RDS Custom untuk instans SQL Server DB.

Untuk informasi selengkapnya tentang grup keamanan, lihat Grup keamanan untuk VPC Anda dalam Panduan Developer Amazon VPC.

Konfigurasikan titik akhir untuk dependen Layanan AWS

Kami menyarankan Anda menambahkan titik akhir untuk setiap layanan ke VPC Anda menggunakan petunjuk berikut. Namun, Anda dapat menggunakan solusi apa pun yang memungkinkan VPC Anda berkomunikasi dengan titik akhir AWS layanan. Misalnya, Anda dapat menggunakan Network Address Translation (NAT) atau AWS Direct Connect.

Untuk mengonfigurasi titik akhir yang Layanan AWS dengannya RDS Custom berfungsi

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Pada bilah navigasi, gunakan pemilih Wilayah untuk memilih Wilayah AWS.

3. Di panel navigasi, pilih Titik akhir. Pada panel utama, pilih Buat Titik Akhir.

4. Untuk Kategori layanan, pilih Layanan AWS.

5. Untuk Nama Layanan, pilih titik akhir yang ditunjukkan dalam tabel.

6. Untuk VPC, pilih VPC Anda.

7. Untuk Subnet, pilih subnet dari setiap Zona Ketersediaan yang akan disertakan.

   Titik akhir VPC dapat menjangkau beberapa Availability Zone. AWS menciptakan sebuah elastic network interface untuk endpoint VPC di setiap subnet yang Anda pilih. Setiap antarmuka jaringan memiliki nama host Sistem Nama Domain (DNS) dan alamat IP privat.

8. Untuk Grup keamanan, pilih atau buat grup keamanan.

   Anda dapat menggunakan grup keamanan untuk mengontrol akses ke titik akhir Anda, seperti Anda menggunakan firewall. Pastikan bahwa grup keamanan mengizinkan koneksi masuk pada port 443 dari instans DB. Untuk informasi selengkapnya, lihat Grup Keamanan untuk VPC Anda dalam Panduan Pengguna Amazon VPC.

9. Secara opsional, Anda dapat melampirkan kebijakan ke titik akhir VPC. Kebijakan endpoint dapat mengontrol akses Layanan AWS ke yang Anda sambungkan. Kebijakan default mengizinkan semua permintaan melewati titik akhir. Jika Anda menggunakan kebijakan kustom, pastikan permintaan dari instans DB diizinkan dalam kebijakan ini.

10. Pilih Buat titik akhir.

Tabel berikut menjelaskan cara menemukan daftar titik akhir yang dibutuhkan VPC Anda untuk komunikasi keluar.

Layanan	Format titik akhir	Catatan dan tautan
AWS Systems Manager	Gunakan format titik akhir berikut: ssm.region.amazonaws.com ssmmessages.region.amazonaws.com	Untuk daftar titik akhir di setiap Wilayah, lihat Titik akhir dan kuota AWS Systems Manager dalam Referensi Umum Amazon Web Services.
AWS Secrets Manager	Gunakan format titik akhir secretsmanager.region.amazonaws.com.	Untuk daftar titik akhir di setiap Wilayah, lihat Titik akhir dan kuota AWS Secrets Manager dalam Referensi Umum Amazon Web Services.
Amazon CloudWatch	Gunakan format titik akhir berikut: Untuk CloudWatch metrik, gunakan monitoring.region.amazonaws.com Untuk CloudWatch Acara, gunakan events.region.amazonaws.com Untuk CloudWatch Log, gunakan logs.region.amazonaws.com	Untuk daftar titik akhir di setiap Wilayah, lihat: CloudWatch Titik akhir dan kuota Amazon di Referensi Umum Amazon Web Services Amazon CloudWatch Logs titik akhir dan kuota di Referensi Umum Amazon Web Services Titik akhir dan kuota CloudWatch Acara Amazon di Referensi Umum Amazon Web Services
Amazon EC2	Gunakan format titik akhir berikut: ec2.region.amazonaws.com ec2messages.region.amazonaws.com	Untuk daftar titik akhir di setiap Wilayah, lihat Titik akhir dan kuota Amazon Elastic Compute Cloud dalam Referensi Umum Amazon Web Services.
Amazon S3	Gunakan format titik akhir s3.region.amazonaws.com.	Untuk daftar titik akhir di setiap Wilayah, lihat Titik akhir dan kuota Amazon Simple Storage Service dalam Referensi Umum Amazon Web Services. Untuk mempelajari selengkapnya tentang titik akhir gateway untuk Amazon S3, lihat Titik Akhir untuk Amazon S3 dalam Panduan Developer Amazon VPC. Untuk mempelajari cara membuat titik akses, lihat Membuat titik akses dalam Panduan Developer Amazon VPC. Untuk mempelajari cara membuat titik akhir gateway untuk Amazon S3, lihat Titik akhir VPC Gateway.
Amazon Simple Queue Service	Gunakan format titik akhir sqs.region.amazonaws.com	Untuk daftar titik akhir di setiap Wilayah, lihat titik akhir dan kuota Amazon Simple Queue Service.

Konfigurasikan layanan metadata instans

Pastikan instans Anda dapat melakukan hal berikut:

• Mengakses layanan metadata instans menggunakan Instance Metadata Service Version 2 (IMDSv2).

• Memungkinkan komunikasi keluar melalui port 80 (HTTP) ke alamat IP tautan IMDS.

• Meminta metadata instans dari http://169.254.169.254, tautan IMDSv2.

Untuk informasi selengkapnya, lihat Menggunakan IMDSv2 di Panduan Pengguna Amazon EC2.

Pembatasan lintas-instance

Saat Anda membuat profil instans dengan mengikuti langkah-langkah di atas, profil tersebut menggunakan kebijakan AWS terkelola AmazonRDSCustomInstanceProfileRolePolicy untuk memberikan izin yang diperlukan ke RDS Custom yang memungkinkan pengelolaan instans dan otomatisasi pemantauan. Kebijakan terkelola memastikan bahwa izin hanya mengizinkan akses ke sumber daya yang diperlukan RDS Custom untuk menjalankan otomatisasi. Sebaiknya gunakan kebijakan terkelola untuk mendukung fitur baru dan memenuhi persyaratan keamanan yang secara otomatis diterapkan ke profil instans yang ada tanpa intervensi manual. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola: AmazonRDScusto m. InstanceProfile RolePolicy

Kebijakan AmazonRDSCustomInstanceProfileRolePolicy terkelola membatasi profil instans agar memiliki akses lintas akun, tetapi mungkin mengizinkan akses ke beberapa sumber daya terkelola Kustom RDS di seluruh instans Kustom RDS dalam akun yang sama. Berdasarkan kebutuhan Anda, Anda dapat menggunakan batas izin untuk membatasi akses lintas instans lebih lanjut. Batas izin menentukan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas, tetapi tidak memberikan izin sendiri. Untuk informasi selengkapnya, lihat Mengevaluasi izin efektif dengan batasan.

Misalnya, kebijakan berikut membatasi peran profil instance untuk mengakses AWS KMS kunci tertentu dan membatasi akses ke sumber daya terkelola RDS Custom di seluruh instance yang menggunakan kunci berbeda. AWS KMS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyOtherKmsKeyAccess",
            "Effect": "Deny",
            "Action": "kms:*",
            "NotResource": "arn:aws:kms:region:acct_id:key/KMS_key_ID"
        },
        {
            "Sid": "NoBoundarySetByDefault",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

catatan

Pastikan batas izin tidak memblokir izin apa pun yang diberikan kepada AmazonRDSCustomInstanceProfileRolePolicy RDS Custom.