Configurazione di Amazon RDS

Prima di utilizzare Amazon Relational Database Service per la prima volta, completa le seguenti attività.

Se hai già un Account AWS, conosci i requisiti di Amazon RDS e preferisci utilizzare le impostazioni predefinite per i gruppi di sicurezza VPC e IAM, passa a Nozioni di base su Amazon RDS.

Registrarsi per creare un Account AWS

Se non disponi di un Account AWS, completa la procedura seguente per crearne uno.

Per registrarsi a un Account AWS

1. Apri la pagina all'indirizzo https://portal.aws.amazon.com/billing/signup.

2. Segui le istruzioni online.

   Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

   Durante la registrazione di un Account AWS, viene creato un Utente root dell'account AWS. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWSnell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente amministrativo e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

Al termine del processo di registrazione, riceverai un'e-mail di conferma da AWS. È possibile visualizzare l'attività corrente dell'account e gestire l'account in qualsiasi momento accedendo all'indirizzo https://aws.amazon.com/ e selezionando Il mio account.

Creazione di un utente amministratore

Dopo aver effettuato la registrazione di un Account AWS, proteggi Utente root dell'account AWS, abilita AWS IAM Identity Center e crea un utente amministratore in modo da non utilizzare l'utente root per le attività quotidiane.

Protezione dell'Utente root dell'account AWS

1. Accedi alla AWS Management Console come proprietario dell'account scegliendo Utente root e immettendo l'indirizzo email del Account AWS. Nella pagina successiva, inserisci la password.

   Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Accesso come utente root della Guida per l'utente di Accedi ad AWS.

2. Abilita l'autenticazione a più fattori (MFA) per l'utente root.

   Per ricevere istruzioni, consulta Abilitazione di un dispositivo MFA virtuale per l'utente root dell'Account AWS (console) nella Guida per l'utente IAM.

Creazione di un utente amministratore

1. Abilita IAM Identity Center

   Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center.

2. In Centro identità AWS IAM, assegna l'accesso amministrativo a un utente amministrativo.

   Per un tutorial sull'utilizzo di IAM Identity Center directory come origine di identità, consulta Configure user access with the default IAM Identity Center directory nella Guida per l'utente di AWS IAM Identity Center.

Accesso come utente amministratore

• Per accedere con l'utente IAM Identity Center, utilizza l'URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

  Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta Accedere al portale di accesso AWS nella Guida per l'utente Accedi ad AWS.

Concessione dell'accesso programmatico

Gli utenti hanno bisogno di un accesso programmatico se desiderano interagire con AWS esternamente a AWS Management Console. La modalità con cui concedere l'accesso programmatico dipende dal tipo di utente che accede ad AWS.

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti nel centro identità IAM)	Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta la pagina Configurazione della AWS CLI per l'uso di AWS IAM Identity Center nella Guida per l'utente dell'AWS Command Line Interface. Per gli SDK AWS, gli strumenti e le API AWS, consulta la pagina Autenticazione Centro identità IAM nella Guida di riferimento per SDK e strumenti AWS.
IAM	Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni in Utilizzo di credenziali temporanee con le risorse AWS nella Guida per l'utente IAM.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS.	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta la pagina Autenticazione tramite credenziali utente IAM nella Guida per l'utente dell'AWS Command Line Interface. Per gli SDK e gli strumenti AWS, consulta la pagina Autenticazione con credenziali a lungo termine nella Guida di riferimento per SDK e strumenti AWS. Per le API AWS, consulta la pagina Gestione delle chiavi di accesso per utenti IAM nella Guida per l'utente IAM.

Determinazione dei requisiti

L'istanza database rappresenta l'elemento di base di Amazon RDS. In un'istanza database, puoi creare i database. Un'istanza database fornisce un indirizzo di rete che si chiama un endpoint. Le applicazioni utilizzano questo endpoint per connettersi all'istanza database. Quando crei un'istanza database, specifichi dettagli come storage, memoria, motore di database e versione, configurazione di rete, sicurezza e periodi di manutenzione. Controlli l'accesso alla rete a un'istanza database tramite un gruppo di sicurezza.

Prima di creare un'istanza database e un gruppo di sicurezza, devi conoscere le necessità dell'istanza database e della rete. Ecco alcune cose importanti da considerare:

• Requisiti delle risorse – Quali sono i requisiti di memoria e del processore per l'applicazione o il servizio? Utilizzi queste impostazioni per aiutare a determinare quale classe di istanza database da utilizzare. Per specifiche sulle classi di istanza database, consulta Classi di istanze database.

• VPC, sottorete e gruppo di sicurezza– L'istanza database si trova molto probabilmente in un Virtual Private Cloud (VPC). Per connetterti all'istanza database, devi configurare le regole del gruppo di sicurezza. Queste regole sono configurate in maniera diversa in base a quale tipo di VPC utilizzi e come lo utilizzi. Ad esempio, puoi usare un VPC predefinito o un VPC definito dall'utente.

  L'elenco seguente descrive le regole per ogni opzione VPC:

  • VPC predefinito: se l'account AWS ha un VPC predefinito nella regione AWS corrente, tale VPC è configurato per supportare le istanze database. Se specifichi il VPC predefinito quando crei l'istanza database, esegui quanto segue:

    • Assicurati di creare un gruppo di sicurezza VPC che autorizzi le connessioni dall'applicazione o dal servizio all’istanza database Amazon RDS. Utilizza l'opzione Gruppo di sicurezza nella console VPC o nella AWS CLI per creare i gruppi di sicurezza VPC. Per informazioni, consulta Fase 3: creazione di un gruppo di sicurezza VPC.

    • Specifica il gruppo di sottoreti del database predefinito. Se questa è la prima istanza database creata nella regione AWS, Amazon RDS crea il gruppo di sottoreti del database predefinito quando crea l'istanza database.

  • VPC definito dall'utente – Se desideri specificare un VPC definito dall'utente quando crei un'istanza database, tieni presente quanto segue:

    • Assicurati di creare un gruppo di sicurezza VPC che autorizzi le connessioni dall'applicazione o dal servizio all’istanza database Amazon RDS. Utilizza l'opzione Gruppo di sicurezza nella console VPC o nella AWS CLI per creare i gruppi di sicurezza VPC. Per informazioni, consulta Fase 3: creazione di un gruppo di sicurezza VPC.

    • Il VPC deve soddisfare certi requisiti per ospitare istanze database, come avere almeno due sottoreti, ognuna in una zona di disponibilità separata. Per informazioni, consulta VPC di Amazon VPC e Amazon RDS.

    • Assicurati di specificare un gruppo di sottoreti del database che definisce quali sottoreti in quel VPC possono essere utilizzate dall'istanza database. Per informazioni, consulta la sezione del gruppo di sottoreti del database in Uso di un'istanza database in un VPC.

• Elevata disponibilità: hai bisogno di supporto per il failover? Su Amazon RDS, un'implementazione Multi-AZ crea un'istanza database primaria e un'istanza database secondaria in standby in un'altra zona di disponibilità per il supporto per il failover. Consigliamo implementazioni Multi-AZ per carichi di lavoro di produzione per mantenere alta disponibilità. Per scopi di sviluppo e di test, puoi utilizzare un'implementazione che non è Multi-AZ. Per ulteriori informazioni, consulta Configurazione e gestione di un'implementazione multi-AZ.

• Policy IAM: l'account AWS ha le policy che concedono le autorizzazioni necessarie per eseguire le operazioni Amazon RDS? Se esegui la connessione ad AWS utilizzando le credenziali IAM, l'account IAM deve avere policy IAM che concedono le autorizzazioni necessarie per eseguire le operazioni Amazon RDS. Per ulteriori informazioni, consulta Gestione accessi e identità per Amazon RDS.

• Porte aperte: tramite quale porta TCP/IP ascolta il database? I firewall in alcune aziende possono bloccare le connessioni alla porta predefinita del motore di database. Se il firewall dell'azienda blocca la porta predefinita, seleziona un'altra porta per la nuova istanza database. Quando si crea un'istanza database che ascolta su una porta che specifichi, puoi cambiare la porta modificando l'istanza database.

• Regione AWS: in quale regione AWS desideri il database? Avere il database in prossimità ravvicinata all'applicazione o servizio web può ridurre la latenza di rete. Per ulteriori informazioni, consulta Regioni, zone di disponibilità e Local Zones.

• Sottosistema di dischi dei database: quali sono i requisiti di archiviazione? Amazon RDS fornisce tre tipi di archiviazione:

  • General Purpose (SSD)

  • Provisioned IOPS (PIOPS)

  • Magnetico (noto anche come memoria standard)

  Per ulteriori informazioni sullo storage Amazon RDS, consulta Storage delle istanze di database Amazon RDS.

Quando disponi delle informazioni, devi creare un gruppo di sicurezza e istanza database, continua alla fase successiva.

Fornisci accesso alla istanza database nel VPC creando un gruppo di sicurezza

I gruppi di sicurezza VPC forniscono l'accesso alle istanze database in un VPC. Fungono da firewall per l'istanza database associata, controllando sia il traffico in entrata che in uscita a livello di istanza database. Le istanze database vengono create come impostazione predefinita con un firewall e un gruppo di sicurezza predefinito che protegge l'istanza database.

Prima di connetterti a un'istanza database, devi aggiungere regole al gruppo di sicurezza che consentono di connettersi. Utilizza le informazione di rete e di configurazione per creare regole per permettere l'accesso all'istanza database.

Supponiamo, ad esempio, di avere un'applicazione che accede a un database nell'istanza database in un VPC. In questo caso, devi aggiungere una regola TCP personalizzata che specifichi l'intervallo di porte e gli indirizzi IP che l'applicazione utilizza per accedere al database. Se hai un'applicazione in un'istanza Amazon EC2, puoi utilizzare il gruppo di sicurezza configurato per l'istanza Amazon EC2.

Puoi configurare la connettività tra un'istanza Amazon EC2 e un'istanza database quando crei l'istanza database. Per ulteriori informazioni, consulta Configurazione della connettività di rete automatica con un'istanza EC2.

Suggerimento

Quando crei un'istanza database, puoi configurare automaticamente la connettività di rete tra un'istanza Amazon EC2 e un'istanza database. Per ulteriori informazioni, consulta Configurazione della connettività di rete automatica con un'istanza EC2.

Per informazioni sugli scenari comuni per l'accesso a un'istanza database, consult Scenari per accedere a un'istanza database in un VPC.

Per creare un gruppo di sicurezza VPC

1. Accedere ad AWS Management Console e aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc.

   Nota

   Assicurati di essere nella console VPC, non nella console RDS.

2. Nell'angolo in alto a destra della AWS Management Console, seleziona la Regione AWS in cui vuoi creare il gruppo di sicurezza VPC e l'istanza database. Nell'elenco delle risorse Amazon VPC per quella regione AWS, dovresti vedere almeno un VPC e diverse sottoreti. Se non è indicato, non disponi di un VPC predefinito in quella regione AWS.

3. Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

4. Scegliere Create Security Group (Crea gruppo di sicurezza).

   Viene visualizzata la pagina Create security group (Crea gruppo di sicurezza).

5. In Basic details (Dettagli di base), immettere il Security group name (Nome del gruppo di sicurezza) e la Description (Descrizione). Per VPC, seleziona il VPC nel quale desideri creare l'istanza database.

6. Per Inbound rules (Regole in entrata), scegli Add rule (Aggiungi regola).

   1. Per Type (Tipo), scegliere Custom TCP (TCP personalizzato).

   2. Per Port Range (Intervallo porte), digita il valore della porta da utilizzare per l’istanza database.

   3. Per Source (Origine), seleziona il nome del gruppo di sicurezza o digita l'intervallo dell'indirizzo IP (valore CIDR) da dove accedi all'istanza database. Se scegli My IP (Il mio IP), questo consente l'accesso all'istanza database dall'indirizzo IP rilevato nel browser.

7. Se occorre aggiungere altri indirizzi IP o intervalli di porta diversi, scegliere Add rule (Aggiungi regola) e immettere le informazioni relative alla regola.

8. (Facoltativo) In Outbound Rules (Regole in uscita), aggiungi regole per il traffico in uscita. Come impostazione predefinita, tutto il traffico in uscita è permesso.

9. Scegliere Create Security Group (Crea gruppo di sicurezza).

Puoi utilizzare il gruppo di sicurezza VPC appena creato come gruppo di sicurezza per l'istanza database al momento della creazione.

Nota

Se utilizzi un VPC predefinito, viene creato un gruppo di sottoreti predefinito che include tutte le sottoreti VPC. Quando si crea un'istanza database, è possibile selezionare il VPC predefinito e utilizzare default (predefinito) per DB Subnet Group (Gruppo di sottoreti del database).

Quando hai completato i requisiti di configurazione, puoi creare un'istanza database utilizzando i requisiti e il gruppo di sicurezza. Per farlo, segui le istruzioni in Creazione di un'istanza database Amazon RDS. Per informazioni su come iniziare con la creazione di un'istanza database che utilizzi un motore DB specifico, consulta la documentazione pertinente nella tabella seguente.

Motore di database	Documentazione
MariaDB	Creazione e connessione di un'istanza database MariaDB
Microsoft SQL Server	Creazione e connessione a un'istanza database Microsoft SQL Server
MySQL	Creazione e connessione di un'istanza database MySQL
Oracle	Creazione e connessione a un'istanza database Oracle
PostgreSQL	Creazione e connessione di un'istanza database PostgreSQL

Nota

Se non è possibile connettersi a un'istanza database dopo averla creata, consulta le informazioni sulla risoluzione dei problemi in Impossibile connettersi all'istanza database di Amazon RDS.