Configurazione dell'ambiente per Amazon RDS Custom per SQL Server

Prima di creare e gestire un'istanza database per l'istanza database di Amazon RDS Custom per SQL Server, assicurarsi di eseguire le seguenti attività.

Indice

• Prerequisiti per la configurazione di RDS Custom for SQL Server
  • Creazione automatica del profilo di istanza utilizzando il AWS Management Console
• Fase 1: concedere le autorizzazioni necessarie al responsabile IAM
• Fase 2: Configurazione della rete, del profilo dell'istanza e della crittografia
  • Configurazione con AWS CloudFormation
    • Parametri richiesti da CloudFormation
    • Scarica il file modello AWS CloudFormation
    • Configurazione delle risorse tramite CloudFormation
  • Configurazione manuale
    • Assicurati di disporre di una chiave di crittografia simmetrica AWS KMS
    • Creazione manuale del ruolo IAM e del profilo dell'istanza
      • Crea il ruolo AWSRDSCustomSQLServerInstanceRole IAM
      • Aggiungi una politica di accesso a AWSRDSCustomSQLServerInstanceRole
      • Creare un profilo dell'istanza RDS Custom for SQL server
      • Aggiungi AWSRDSCustomSQLServerInstanceRole al tuo profilo di istanza RDS Custom for SQL Server
    • Configurazione manuale del VPC
      • Configura il tuo gruppo di sicurezza VPC
      • Configura gli endpoint per dipendenti Servizi AWS
      • Configurazione del servizio di metadati dell'istanza
• Restrizione tra istanze

Nota

Per un step-by-step tutorial su come configurare i prerequisiti e avviare Amazon RDS Custom for SQL Server, consulta Introduzione ad Amazon RDS Custom for SQL Server utilizzando un CloudFormation modello (configurazione di rete) ed Esplora i prerequisiti necessari per creare un'istanza Amazon RDS Custom for SQL Server.

Prerequisiti per la configurazione di RDS Custom for SQL Server

Prima di creare un'istanza database di RDS Custom per SQL Server, assicurati che l'ambiente soddisfi i requisiti descritti in questo argomento. Puoi anche utilizzare il CloudFormation modello per configurare i prerequisiti all'interno del tuo. Account AWS Per ulteriori informazioni, consulta Configurazione con AWS CloudFormation

RDS Custom for SQL Server richiede la configurazione dei seguenti prerequisiti:

• Configura le autorizzazioni AWS Identity and Access Management (IAM) richieste per la creazione dell'istanza. Si tratta dell'utente o del ruolo AWS Identity and Access Management (IAM) necessario per effettuare una create-db-instance richiesta a RDS.

• Configura le risorse prerequisite richieste dall'istanza DB RDS Custom for SQL Server:

  • Configura la AWS KMS chiave richiesta per la crittografia dell'istanza RDS Custom. RDS Custom richiede una chiave gestita dal cliente al momento della creazione dell'istanza per la crittografia. L'ARN, l'ID, l'alias ARN o il nome alias della chiave KMS viene passato kms-key-id come parametro nella richiesta di creazione dell'istanza DB personalizzata RDS.

  • Configura le autorizzazioni richieste all'interno dell'istanza DB di RDS Custom for SQL Server. RDS Custom associa un profilo di istanza all'istanza DB al momento della creazione e lo utilizza per l'automazione all'interno dell'istanza DB. Il nome del profilo dell'istanza è impostato su custom-iam-instance-profile nella richiesta di creazione personalizzata RDS. È possibile creare un profilo di istanza da AWS Management Console o creare manualmente il proprio profilo di istanza. Per ulteriori informazioni, consulta Creazione automatica del profilo di istanza utilizzando il AWS Management Console e Creazione manuale del ruolo IAM e del profilo dell'istanza.

  • Configurare la configurazione di rete in base ai requisiti di RDS Custom for SQL Server. Le istanze RDS Custom risiedono nelle sottoreti (configurate con il gruppo di sottoreti DB) fornite al momento della creazione dell'istanza. Queste sottoreti devono consentire alle istanze RDS Custom di comunicare con i servizi richiesti per l'automazione RDS.

Nota

Per i requisiti sopra menzionati, assicurati che non esistano politiche di controllo del servizio (SCP) che limitino le autorizzazioni a livello di account.

Se l'account che stai utilizzando fa parte di un'organizzazione AWS , potrebbe disporre di policy di controllo dei servizi che limitano le autorizzazioni a livello di account. Assicurati che le SCP non limitino le autorizzazioni per gli utenti e i ruoli creati utilizzando le seguenti procedure.

Per ulteriori informazioni sulle SCP, consulta Policy di controllo dei servizi (Service Control Policies, SCP) nella Guida per l'utente di AWS Organizations . Usa il AWS CLI comando describe-organization per verificare se il tuo account fa parte di un'organizzazione. AWS

Per ulteriori informazioni su AWS Organizations, consulta What is AWS Organizations nella AWS Organizations User Guide.

Per i requisiti generali applicabili a RDS Custom per SQL Server, vedere Requisiti generali per RDS Custom per SQL Server.

Creazione automatica del profilo di istanza utilizzando il AWS Management Console

RDS Custom richiede la creazione e la configurazione di un profilo di istanza per avviare qualsiasi istanza DB di RDS Custom for SQL Server. Utilizza AWS Management Console per creare e allegare un nuovo profilo di istanza in un unico passaggio. Questa opzione è disponibile nella sezione RDS Custom security nelle pagine Create database, Restore snapshot e Restore to point-in-time console. Scegli Crea un nuovo profilo di istanza per fornire un suffisso per il nome del profilo di istanza. AWS Management Console crea un nuovo profilo di istanza con le autorizzazioni necessarie per le attività di automazione RDS Custom. Per creare automaticamente nuovi profili di istanza, l' AWS Management Console utente che ha effettuato l'accesso deve disporre diiam:CreateInstanceProfile,iam:AddRoleToInstanceProfile, iam:CreateRole e autorizzazioni. iam:AttachRolePolicy

Nota

Questa opzione è disponibile solo in. AWS Management Console Se utilizzi la CLI o l'SDK, utilizza il CloudFormation modello RDS personalizzato o crea manualmente un profilo di istanza. Per ulteriori informazioni, consulta Creazione manuale del ruolo IAM e del profilo dell'istanza.

Fase 1: concedere le autorizzazioni necessarie al responsabile IAM

Assicurati di avere accesso sufficiente per creare un'istanza RDS Custom. Il ruolo IAM o l'utente IAM (denominato principale IAM) per la creazione di un'istanza DB RDS Custom for SQL Server utilizzando la console o la CLI deve disporre di una delle seguenti politiche per una corretta creazione dell'istanza DB:

• La policy AdministratorAccess

• La policy AmazonRDSFullAccess con le seguenti autorizzazioni aggiuntive:

  iam:SimulatePrincipalPolicy
  cloudtrail:CreateTrail
  cloudtrail:StartLogging
  s3:CreateBucket
  s3:PutBucketPolicy
  s3:PutBucketObjectLockConfiguration
  s3:PutBucketVersioning 
  kms:CreateGrant
  kms:DescribeKey

  RDS Custom utilizza queste autorizzazioni durante la creazione dell'istanza. Queste autorizzazioni configurano le risorse dell'account necessarie per le operazioni RDS Custom.

  Per ulteriori informazioni sull'autorizzazione kms:CreateGrant, consulta Gestione di AWS KMS key.

La policy JSON di esempio seguente fornisce le autorizzazioni necessarie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Inoltre, il principale IAM richiede l'autorizzazione iam:PassRole sul ruolo IAM. Deve essere collegata al profilo dell'istanza passato nel parametro custom-iam-instance-profile nella richiesta di creazione dell'istanza database di RDS Custom. Il profilo dell'istanza e il suo ruolo collegato vengono creati in seguito in Fase 2: Configurazione della rete, del profilo dell'istanza e della crittografia.

Nota

Assicurati che le autorizzazioni elencate in precedenza non siano limitate da policy di controllo dei servizi, da limiti delle autorizzazioni o da policy di sessione associati al principale IAM.

Fase 2: Configurazione della rete, del profilo dell'istanza e della crittografia

Puoi configurare il ruolo del profilo dell'istanza IAM, il cloud privato virtuale (VPC) e la chiave di crittografia AWS KMS simmetrica utilizzando uno dei seguenti processi:

• Configurazione con AWS CloudFormation (consigliato)

• Configurazione manuale

Nota

Se il tuo account fa parte di uno di essi AWS Organizations, assicurati che le autorizzazioni richieste dal ruolo del profilo dell'istanza non siano limitate dalle policy di controllo del servizio (SCP).

Le configurazioni di rete riportate in questo argomento funzionano meglio con istanze DB che non sono accessibili pubblicamente. Non è possibile connettersi direttamente a tali istanze DB dall'esterno del VPC.

Configurazione con AWS CloudFormation

Per semplificare la configurazione, puoi utilizzare un file AWS CloudFormation modello per creare uno CloudFormation stack. Un CloudFormation modello crea tutte le reti, i profili di istanza e le risorse di crittografia in base ai requisiti di RDS Custom.

Per informazioni su come creare pile, consulta Creazione di uno stack sulla AWS CloudFormation console nella Guida per l'utente.AWS CloudFormation

Per un tutorial su come avviare Amazon RDS Custom for SQL Server utilizzando un AWS CloudFormation modello, consulta Get started with Amazon RDS Custom for SQL Server using an AWS CloudFormation template nel AWS Database Blog.

Argomenti

• Parametri richiesti da CloudFormation
• Scarica il file modello AWS CloudFormation
• Configurazione delle risorse tramite CloudFormation

Parametri richiesti da CloudFormation

I seguenti parametri sono necessari per configurare le risorse dei prerequisiti RDS Custom con: CloudFormation

Gruppo di parametri	Nome del parametro	Valore predefinito	Descrizione
Configurazione della disponibilità	Seleziona una configurazione di disponibilità per l'impostazione dei prerequisiti	Multi-AZ	Specificare se impostare i prerequisiti nella configurazione Single-AZ o Multi-AZ per le istanze RDS Custom. È necessario utilizzare la configurazione Multi-AZ se è necessaria almeno un'istanza DB Multi-AZ in questa configurazione
Configurazione di rete	Blocco CIDR IPv4 per VPC	10.0.0.0/16	Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) per il VPC. Questo VPC è configurato per creare e utilizzare un'istanza DB personalizzata RDS.
	Blocco CIDR IPv4 per 1 delle 2 sottoreti private	10.0.128.0/20	Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) per la prima sottorete privata. Questa è una delle due sottoreti in cui è possibile creare l'istanza DB personalizzata RDS. Si tratta di una sottorete privata senza accesso a Internet.
	Blocco CIDR IPv4 per 2 sottoreti private su 2	10.0.144.0/20	Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) per la seconda sottorete privata. Questa è una delle due sottoreti in cui è possibile creare l'istanza DB personalizzata RDS. Si tratta di una sottorete privata senza accesso a Internet.
	Blocco CIDR IPv4 per sottorete pubblica	10.0.0.0/20	Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) per la sottorete pubblica. Questa è una delle sottoreti in cui l'istanza EC2 può connettersi con l'istanza DB personalizzata RDS. Si tratta di una sottorete pubblica con accesso a Internet.
Configurazione dell'accesso RDP	Blocco CIDR IPv4 del codice sorgente	‐	Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) della fonte. Questo è l'intervallo IP da cui si effettua la connessione RDP all'istanza EC2 nella sottorete pubblica. Se non è impostata, la connessione RDP all'istanza EC2 non è configurata.
	Imposta l'accesso RDP all'istanza RDS Custom for SQL Server	No	Specificare se abilitare la connessione RDP dall'istanza EC2 all'istanza RDS Custom for SQL Server. Per impostazione predefinita, la connessione RDP dall'istanza EC2 all'istanza DB non è configurata.

Risorse create da CloudFormation

La corretta creazione dello CloudFormation stack utilizzando le impostazioni predefinite crea le seguenti risorse nel tuo Account AWS:

• Chiave KMS di crittografia simmetrica per la crittografia dei dati gestiti da RDS Custom.

• Il profilo dell'istanza è associato a un ruolo IAM AmazonRDSCustomInstanceProfileRolePolicy per fornire le autorizzazioni richieste da RDS Custom. Per ulteriori informazioni, consulta Amazon RDS CustomService RolePolicy nella Managed Policy Reference Guide.AWS

• VPC con l'intervallo CIDR specificato come parametro. CloudFormation Il valore predefinito è 10.0.0.0/16.

• Due sottoreti private con l'intervallo CIDR specificato nei parametri e due diverse zone di disponibilità nella Regione AWS. I valori predefiniti per i CIDR sottorete sono 10.0.128.0/20 e 10.0.144.0/20.

• Una sottorete pubblica con l'intervallo CIDR specificato nei parametri. Il valore predefinito per la sottorete CIDR è 10.0.0.0/20. L'istanza EC2 risiede in questa sottorete e può essere utilizzata per connettersi all'istanza RDS Custom.

• Opzione DHCP impostata per il VPC con risoluzione dei nomi di dominio su un server di sistema dei nomi di dominio (DNS) Amazon.

• Tabella di instradamento da associare a due sottoreti private e nessun accesso a Internet.

• Tabella di routing da associare alla sottorete pubblica e con accesso a Internet.

• Gateway Internet associato al VPC per consentire l'accesso a Internet alla sottorete pubblica.

• Elenco di controllo degli accessi alla rete (ACL) da associare a due sottoreti private e accesso limitato a HTTPS e alla porta DB all'interno di VPC.

• Gruppo di sicurezza VPC da associare all'istanza di RDS Custom. L'accesso per l'HTTPS in uscita è limitato agli Servizio AWS endpoint richiesti da RDS Custom e alla porta DB in entrata dal gruppo di sicurezza delle istanze EC2.

• Gruppo di sicurezza VPC da associare all'istanza EC2 nella sottorete pubblica. L'accesso è limitato per la porta DB in uscita al gruppo di sicurezza dell'istanza RDS Custom.

• Gruppo di sicurezza VPC da associare agli endpoint VPC creati per gli endpoint richiesti da Servizio AWS RDS Custom.

• Gruppo di sottoreti DB in cui vengono create istanze di RDS Custom. Due sottoreti private create da questo modello vengono aggiunte al gruppo di sottoreti DB.

• Endpoint VPC per ciascuno degli Servizio AWS endpoint richiesti da RDS Custom.

L'impostazione della configurazione della disponibilità su multi-az creerà le seguenti risorse oltre all'elenco precedente:

• Regole ACL di rete che consentono la comunicazione tra sottoreti private.

• Accesso in entrata e in uscita alla porta Multi-AZ all'interno del gruppo di sicurezza VPC associato all'istanza RDS Custom.

• Da endpoint VPC a endpoint AWS di servizio necessari per la comunicazione Multi-AZ.

Inoltre, l'impostazione della configurazione di accesso RDP crea le seguenti risorse:

• Configurazione dell'accesso RDP alla sottorete pubblica dall'indirizzo IP di origine:

  • Regole ACL di rete che consentono la connessione RDP dall'IP di origine alla sottorete pubblica.

  • Accedi alla porta RDP dall'IP di origine al gruppo di sicurezza VPC associato all'istanza EC2.

• Configurazione dell'accesso RDP dall'istanza EC2 nella sottorete pubblica all'istanza personalizzata RDS nelle sottoreti private:

  • Regole ACL di rete che consentono la connessione RDP dalla sottorete pubblica alle sottoreti private.

  • Accesso in entrata alla porta RDP dal gruppo di sicurezza VPC associato all'istanza EC2 al gruppo di sicurezza VPC associato all'istanza personalizzata RDS.

Utilizza le seguenti procedure per creare lo CloudFormation stack per RDS Custom for SQL Server.

Scarica il file modello AWS CloudFormation

Scaricare il file di modello

1. Apri il menu contestuale (fai clic con il pulsante destro del mouse) per il link custom-sqlserver-onboard.zip e scegli Salva collegamento con nome.

2. Salva ed estrai il file sul computer.

Configurazione delle risorse tramite CloudFormation

Per configurare le risorse utilizzando CloudFormation

1. Apri la CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

2. Per avviare la creazione guidata dello stack, scegli Create Stack (Crea stack).

   Viene visualizzata la pagina Create stack (Crea stack).

3. Per Prerequisito - Prepara modello, scegliere Il modello è pronto.

4. Per Specify template (Specifica modello), procedi come segue:

   1. Come Template source (Origine modello), scegliere Upload a template file (Carica un file di modello).

   2. Per Scegli file, individua e quindi scegli il file corretto.

5. Seleziona Successivo.

   Viene visualizzata la pagina Specify stack details (Specifica dettagli stack).

6. In Nome stack, immetti rds-custom-sqlserver.

7. Per Parameters (Parametri), effettua le seguenti operazioni:

   1. Per mantenere le opzioni predefinite, scegli Next (Avanti).

   2. Per modificare le opzioni, scegli la configurazione di disponibilità appropriata, la configurazione di rete e la configurazione di accesso RDP, quindi scegli Avanti.

      Leggi attentamente la descrizione di ciascun parametro prima di modificare i parametri.

   Nota

   Se scegli di creare almeno un'istanza Multi-AZ in questo CloudFormation stack, assicurati che il parametro CloudFormation stack Seleziona una configurazione di disponibilità per la configurazione dei prerequisiti sia impostato su. Multi-AZ Se crei lo CloudFormation stack come Single-AZ, aggiorna lo stack alla configurazione Multi-AZ prima di creare la CloudFormation prima istanza Multi-AZ.

8. Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).

9. Nella rds-custom-sqlserver pagina Revisione, procedi come segue:

   1. In Capabilities (Capacità), selezionare la casella di spunta I acknowledge that AWS CloudFormation might create IAM resources with custom names (Conferma che potrebbe creare risorse IAM con nomi personalizzati).

   2. Seleziona Crea stack.

Nota

Non aggiornate le risorse create da questo AWS CloudFormation stack direttamente dalle pagine delle risorse. Ciò impedisce di applicare aggiornamenti futuri a queste risorse utilizzando un AWS CloudFormation modello.

CloudFormation crea le risorse richieste da RDS Custom for SQL Server. Se la creazione dello stack non va a buon fine, leggi la scheda Events (Eventi) per vedere quale creazione risorsa non è andata a buon fine e il motivo dello stato.

La scheda Output per questo CloudFormation stack nella console dovrebbe contenere informazioni su tutte le risorse da passare come parametri per la creazione di un'istanza DB RDS Custom for SQL Server. Assicurati di utilizzare il gruppo di sicurezza VPC e il gruppo di sottoreti DB creati da CloudFormation per le istanze DB personalizzate RDS. Per impostazione predefinita, RDS tenta di collegare il gruppo di sicurezza VPC predefinito, che potrebbe non disporre dell'accesso necessario.

Se in passato creavi CloudFormation risorse, puoi saltare. Configurazione manuale

Aggiornamento dello stack CloudFormation

Puoi anche aggiornare alcune configurazioni dello CloudFormation stack dopo la creazione. Le configurazioni che possono essere aggiornate sono:

• Configurazione della disponibilità per RDS Custom per SQL Server

  • Seleziona una configurazione di disponibilità per l'impostazione dei prerequisiti: aggiorna questo parametro per passare dalla configurazione Single-AZ a quella Multi-AZ. Se si utilizza questo CloudFormation stack per almeno un'istanza Multi-AZ, è necessario aggiornare lo stack per scegliere la configurazione Multi-AZ.

• Configurazione di accesso RDP per RDS Custom per SQL Server

  • Blocco CIDR IPv4 dell'origine: è possibile aggiornare il blocco CIDR IPv4 (o intervallo di indirizzi IP) dell'origine aggiornando questo parametro. L'impostazione di questo parametro su vuoto rimuove la configurazione di accesso RDP dal blocco CIDR di origine alla sottorete pubblica.

  • Imposta l'accesso RDP a RDS Custom for SQL Server: abilita o disabilita la connessione RDP dall'istanza EC2 all'istanza RDS Custom for SQL Server.

Eliminazione dello stack CloudFormation

È possibile eliminare lo CloudFormation stack dopo aver eliminato tutte le istanze RDS Custom che utilizzano risorse dallo stack. RDS Custom non tiene traccia dello CloudFormation stack, quindi non blocca l'eliminazione dello stack quando ci sono istanze DB che utilizzano risorse dello stack. Assicurati che non ci siano istanze DB RDS Custom che utilizzano le risorse dello stack durante l'eliminazione dello stack.

Nota

Quando elimini uno CloudFormation stack, tutte le risorse create dallo stack vengono eliminate tranne la chiave KMS. La chiave KMS entra in uno stato di eliminazione in sospeso e viene eliminata dopo 30 giorni. Per conservare la chiave KMS, esegui un'operazione di CancelKeycancellazione durante il periodo di prova di 30 giorni.

Configurazione manuale

Se scegli di configurare le risorse manualmente, esegui le seguenti operazioni.

Nota

Per semplificare la configurazione, puoi utilizzare il file AWS CloudFormation modello per creare uno CloudFormation stack anziché una configurazione manuale. Per ulteriori informazioni, consulta Configurazione con AWS CloudFormation.

È inoltre possibile utilizzare il AWS CLI per completare questa sezione. In tal caso, scarica e installa la CLI più recente.

Argomenti

• Assicurati di disporre di una chiave di crittografia simmetrica AWS KMS
• Creazione manuale del ruolo IAM e del profilo dell'istanza
• Configurazione manuale del VPC

Assicurati di disporre di una chiave di crittografia simmetrica AWS KMS

È richiesta una crittografia simmetrica per RDS AWS KMS key Custom. Quando crei un'istanza DB RDS Custom for SQL Server, assicurati di fornire l'identificatore della chiave KMS come parametro. kms-key-id Per ulteriori informazioni, consulta Creazione e connessione a un'istanza database per Amazon RDS Custom per SQL Server.

Sono disponibili le seguenti opzioni:

• Se hai già una chiave KMS gestita dal cliente Account AWS, puoi usarla con RDS Custom. Non è richiesta alcuna operazione aggiuntiva.

• Se hai già creato una chiave KMS di crittografia simmetrica gestita dal cliente per un motore RDS Custom diverso, puoi riutilizzare la stessa chiave KMS. Non è richiesta alcuna operazione aggiuntiva.

• Se non disponi di una chiave KMS di crittografia simmetrica gestita dal cliente esistente nel tuo account, crea una chiave KMS seguendo le istruzioni in Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

• Se stai creando un'istanza DB personalizzata CEV o RDS e la tua chiave KMS si trova in un'altra Account AWS, assicurati di utilizzare la. AWS CLI Non puoi utilizzare la AWS console con chiavi KMS per più account.

Importante

RDS Custom non supporta le chiavi KMS AWS gestite.

Assicurati che la tua chiave di crittografia simmetrica conceda l'accesso al ruolo kms:Decrypt and kms:GenerateDataKey operations to the AWS Identity and Access Management (IAM) nel profilo dell'istanza IAM. Se hai una nuova chiave di crittografia simmetrica nel tuo account, non sono necessarie modifiche. Altrimenti, assicurati che la policy della chiave di crittografia simmetrica fornisca l'accesso a queste operazioni.

Per ulteriori informazioni, consulta Fase 4: Configurazione di IAM for RDS Custom per Oracle.

Creazione manuale del ruolo IAM e del profilo dell'istanza

Puoi creare manualmente un profilo di istanza e utilizzarlo per avviare istanze RDS Custom. Se intendi creare l'istanza in AWS Management Console, salta questa sezione. AWS Management Console Consente di creare e allegare un profilo di istanza alle istanze DB personalizzate RDS. Per ulteriori informazioni, consulta Creazione automatica del profilo di istanza utilizzando il AWS Management Console.

Quando crei manualmente un profilo di istanza, passa il nome del profilo dell'istanza come custom-iam-instance-profile parametro al comando create-db-instance CLI. RDS Custom utilizza il ruolo associato a questo profilo di istanza per eseguire l'automazione e gestire l'istanza.

Per utilizzare il profilo dell'istanza IAM e ruoli IAM per RDS Custom per SQL Server

1. Creare il ruolo IAM denominato AWSRDSCustomSQLServerInstanceRole con una policy di attendibilità che Amazon EC2 può utilizzare per assumere questo ruolo.

2. Aggiungi la policy AWS gestita AmazonRDSCustomInstanceProfileRolePolicy a. AWSRDSCustomSQLServerInstanceRole

3. Crea un profilo dell'istanza IAM per RDS Custom per SQL Server denominato AWSRDSCustomSQLServerInstanceProfile.

4. Aggiungere AWSRDSCustomSQLServerInstanceRole al profilo dell'istanza.

Crea il ruolo AWSRDSCustomSQLServerInstanceRole IAM

L'esempio seguente crea il ruolo AWSRDSCustomSQLServerInstanceRole. Utilizzando la policy di affidabilità, Amazon EC2 può assumere il ruolo.

aws iam create-role \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --assume-role-policy-document '{
        "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                  "Service": "ec2.amazonaws.com"
              }
            }
          ]
        }'

Aggiungi una politica di accesso a AWSRDSCustomSQLServerInstanceRole

Per fornire le autorizzazioni richieste, allega la politica AWS gestita AmazonRDSCustomInstanceProfileRolePolicy aAWSRDSCustomSQLServerInstanceRole. AmazonRDSCustomInstanceProfileRolePolicyconsente alle istanze RDS Custom di inviare e ricevere messaggi ed eseguire varie azioni di automazione.

Nota

Assicurati che le autorizzazioni nella policy di accesso non siano limitate da SCP o dai limiti di autorizzazione associati al ruolo del profilo dell'istanza.

L'esempio seguente associa una policy AWS gestita AWSRDSCustomSQLServerIamRolePolicy al ruolo. AWSRDSCustomSQLServerInstanceRole

aws iam attach-role-policy \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy

Creare un profilo dell'istanza RDS Custom for SQL server

Un profilo dell'istanza è un container che include un ruolo IAM singolo. RDS Custom utilizza il profilo dell'istanza per trasferire il ruolo all'istanza.

Se utilizzi il per AWS Management Console creare un ruolo per Amazon EC2, la console crea automaticamente un profilo di istanza e gli assegna lo stesso nome del ruolo al momento della creazione del ruolo. Creare il profilo dell'istanza IAM come segue, denominandolo AWSRDSCustomSQLServerInstanceProfile.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile

Aggiungi AWSRDSCustomSQLServerInstanceRole al tuo profilo di istanza RDS Custom for SQL Server

Aggiungi il AWSRDSCustomInstanceRoleForRdsCustomInstance ruolo al AWSRDSCustomSQLServerInstanceProfile profilo creato in precedenza.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \
    --role-name AWSRDSCustomSQLServerInstanceRole

Configurazione manuale del VPC

L'istanza database di RDS Custom si trova in un cloud privato virtuale (VPC) basato sul servizio Amazon VPC, proprio come un'istanza Amazon EC2 o un'istanza Amazon RDS. Fornisci e configuri il VPC personalizzato. Pertanto, hai il pieno controllo sulla configurazione della rete delle istanze.

RDS Custom invia la comunicazione dall'istanza database ad altri Servizi AWS. Assicurati che i seguenti servizi siano accessibili dalla sottorete in cui crei le tue istanze DB personalizzate RDS:

• Amazon CloudWatch

• CloudWatch Registri Amazon

• CloudWatch Eventi Amazon

• Amazon EC2

• Amazon EventBridge

• Amazon S3

• AWS Secrets Manager

• AWS Systems Manager

Se si creano implementazioni Multi-AZ

• Amazon Simple Queue Service

Se RDS Custom non è in grado di comunicare con i servizi necessari, pubblica i seguenti eventi:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.

Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Per evitare incompatible-network errori, assicurati che i componenti VPC coinvolti nella comunicazione tra l'istanza DB personalizzata di RDS Servizi AWS soddisfino i seguenti requisiti:

• L'istanza database può effettuare connessioni in uscita sulla porta 443 ad altri Servizi AWS.

• Il VPC consente risposte in entrata alle richieste che originano dall'istanza database RDS Custom.

• RDS Custom può risolvere correttamente i nomi di dominio degli endpoint per ogni Servizio AWS.

Se hai già configurato un VPC per un motore di database RDS Custom diverso, puoi riutilizzare tale VPC e ignorare questo processo.

Argomenti

• Configura il tuo gruppo di sicurezza VPC
• Configura gli endpoint per dipendenti Servizi AWS
• Configurazione del servizio di metadati dell'istanza

Configura il tuo gruppo di sicurezza VPC

Un gruppo di sicurezza funge da firewall virtuale per un'istanza VPC, controllando il traffico in entrata e quello in uscita. Un'istanza DB personalizzata RDS ha un gruppo di sicurezza collegato all'interfaccia di rete che protegge l'istanza. Assicurati che il tuo gruppo di sicurezza consenta il traffico tra RDS Custom e altri Servizi AWS tramite HTTPS. Questo gruppo di sicurezza viene passato come vpc-security-group-ids parametro nella richiesta di creazione dell'istanza.

Per configurare il gruppo di sicurezza per RDS Custom

1. Accedi AWS Management Console e apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc.

2. Consenti a RDS Custom di utilizzare il gruppo di sicurezza predefinito o di creare un gruppo di sicurezza personalizzato.

   Per istruzioni dettagliate, vedi Fornisci accesso alla istanza database nel VPC creando un gruppo di sicurezza.

3. Assicurati che il gruppo di sicurezza consenta le connessioni in uscita sulla porta 443. RDS Custom ha bisogno di questa porta per comunicare con Servizi AWS dipendenti.

4. Se disponi di un VPC privato e utilizzi endpoint VPC, assicurati che il gruppo di sicurezza associato all'istanza database consenta le connessioni in uscita sulla porta 443 a endpoint VPC. Assicurati inoltre che il gruppo di sicurezza associato all'endpoint VPC consenta connessioni in entrata sulla porta 443 dall'istanza database.

   Se le connessioni in entrata non sono consentite, l'istanzaRDS Custom non è in grado di connettersi a AWS Systems Manager e agli endpoint Amazon EC2. Per ulteriori informazioni, consulta Creazione di un endpoint di un Virtual Private Cloud nella Guida per l'utente di AWS Systems Manager .

5. Per le istanze RDS Custom for SQL Server Multi-AZ, assicurati che il gruppo di sicurezza associato all'istanza DB consenta le connessioni in entrata e in uscita sulla porta 1120 verso questo gruppo di sicurezza stesso. Ciò è necessario per la connessione peer-host su un'istanza DB Multi-AZ RDS Custom for SQL Server.

Per ulteriori informazioni sui gruppi di sicurezza, consulta Gruppi di sicurezza per il VPC nella Guida per gli sviluppatori Amazon VPC.

Configura gli endpoint per dipendenti Servizi AWS

È consigliato aggiungere endpoint per ogni servizio VPC utilizzando le seguenti istruzioni. Tuttavia, puoi utilizzare qualsiasi soluzione che consenta al tuo VPC di comunicare con gli endpoint del AWS servizio. Ad esempio, è possibile utilizzare Network Address Translation (NAT) o AWS Direct Connect.

Per configurare gli endpoint Servizi AWS con cui funziona RDS Custom

1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

2. Per cambiare regione, usa il selettore di regione nella barra di navigazione per scegliere Regione AWS.

3. Nel pannello di navigazione, seleziona Endpoints (Endpoint). Nel riquadro principale, seleziona Create Endpoint (Crea endpoint).

4. Per Service category (Categoria servizio), scegli Servizi AWS.

5. Per Service Name (Nome servizio), scegliere l'endpoint mostrato nella tabella.

6. In VPC, seleziona il VPC.

7. In Subnets (Sottoreti), scegli una sottorete per ogni zona di disponibilità da includere.

   L'endpoint VPC può estendersi su più zone di disponibilità. AWS crea un'interfaccia di rete elastica per l'endpoint VPC in ogni sottorete scelta. Ogni interfaccia di rete dispone di un nome host Domain Name System (DNS) e di un indirizzo IP privato.

8. Per Security groups (Gruppi di sicurezza), seleziona o crea un gruppo di sicurezza.

   Puoi utilizzare i gruppi di sicurezza per controllare l'accesso al tuo endpoint, come se utilizzassi un firewall. Assicurati che il gruppo di sicurezza consenta le connessioni in entrata sulla porta 443 dalle istanze DB. Per ulteriori informazioni sui gruppi di sicurezza, consulta Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

9. Facoltativamente, puoi collegare una policy all'endpoint VPC. Le policy degli endpoint possono controllare l'accesso al sistema Servizio AWS a cui ti stai connettendo. La policy predefinita consente a tutte le richieste di passare attraverso l'endpoint. Se utilizzi una policy personalizzata, assicurati che le richieste dall'istanza database siano consentite nella policy.

10. Seleziona Crea endpoint.

Nella tabella seguente viene illustrato come trovare l'elenco degli endpoint di cui il VPC ha bisogno per le comunicazioni in uscita.

Servizio	Formato dell'endpoint	Note e link
AWS Systems Manager	Utilizzare i seguenti formati dell'endpoint: ssm.region.amazonaws.com ssmmessages.region.amazonaws.com	Per un elenco di tutti gli endpoint in ogni regione, consulta Endpoint e quote di AWS Systems Manager in Riferimenti generali di Amazon Web Services.
AWS Secrets Manager	Utilizzare il formato dell'endpoint secretsmanager.region.amazonaws.com.	Per un elenco di tutti gli endpoint in ogni regione, consulta Endpoint e quote di AWS Secrets Manager in Riferimenti generali di Amazon Web Services.
Amazon CloudWatch	Utilizzare i seguenti formati dell'endpoint: Per le CloudWatch metriche, usa monitoring.region.amazonaws.com Per CloudWatch gli eventi, usa events.region.amazonaws.com Per CloudWatch i registri, usa logs.region.amazonaws.com	Per l'elenco degli endpoint in ogni regione, consultare: CloudWatch Endpoint e quote Amazon nel Riferimenti generali di Amazon Web Services Amazon CloudWatch registra gli endpoint e le quote nel Riferimenti generali di Amazon Web Services Endpoint e quote di Amazon CloudWatch Events nel Riferimenti generali di Amazon Web Services
Amazon EC2	Utilizzare i seguenti formati dell'endpoint: ec2.region.amazonaws.com ec2messages.region.amazonaws.com	Per un elenco completo degli endpoint in ogni regione, consulta Endpoint e quote di Amazon Elastic Compute Cloud in Riferimenti generali di Amazon Web Services.
Amazon S3	Utilizzare il formato dell'endpoint s3.region.amazonaws.com.	Per un elenco completo degli endpoint in ogni regione, consulta Endpoint e quote di Amazon Simple Storage Service in Riferimenti generali di Amazon Web Services. Per ulteriori informazioni sugli endpoint gateway per Simple Storage Service (Amazon S3), consultare Endpoint per Amazon S3 nella Guida per gli sviluppatori Amazon VPC. Per informazioni su come creare un punto di accesso, consultare Creazione di access point nella Guida per gli sviluppatori Amazon VPC. Per informazioni su come creare endpoint gateway per Simple Storage Service (Amazon S3), consultare Endpoint VPC gateway.
Amazon Simple Queue Service	Usa il formato endpoint sqs.region.amazonaws.com	Per l'elenco degli endpoint in ogni regione, consulta Endpoint e quote di Amazon Simple Queue Service.

Configurazione del servizio di metadati dell'istanza

Verificare che l'istanza possa fare:

• Accedere ai metadati dell'istanza utilizzando la versione 2 del servizio di metadati dell'istanza (IMDSv2).

• Consenti comunicazioni in uscita tramite la porta 80 (HTTP) all'indirizzo IP del collegamento IMDS.

• Richiedere metadati dell'istanza dahttp://169.254.169.254, il link IMDSv2.

Per ulteriori informazioni, consulta Use IMDSv2 nella Amazon EC2 User Guide.

Restrizione tra istanze

Quando si crea un profilo di istanza seguendo i passaggi precedenti, viene utilizzata la policy AWS gestita AmazonRDSCustomInstanceProfileRolePolicy per fornire le autorizzazioni necessarie a RDS Custom, che consente la gestione delle istanze e l'automazione del monitoraggio. La politica gestita garantisce che le autorizzazioni consentano l'accesso solo alle risorse necessarie a RDS Custom per eseguire l'automazione. Si consiglia di utilizzare la policy gestita per supportare nuove funzionalità e soddisfare i requisiti di sicurezza che vengono applicati automaticamente ai profili di istanza esistenti senza intervento manuale. Per ulteriori informazioni, consulta la policy AWS gestita: AmazonRDSCuso m. InstanceProfile RolePolicy

La policy AmazonRDSCustomInstanceProfileRolePolicy gestita limita l'accesso a più account del profilo dell'istanza, ma potrebbe consentire l'accesso ad alcune risorse gestite di RDS Custom tra istanze RDS Custom all'interno dello stesso account. In base alle tue esigenze, puoi utilizzare i limiti di autorizzazione per limitare ulteriormente l'accesso tra istanze. I limiti di autorizzazione definiscono le autorizzazioni massime che le politiche basate sull'identità possono concedere a un'entità, ma non concedono le autorizzazioni di per sé. Per ulteriori informazioni, consulta Valutazione delle autorizzazioni effettive con limiti.

Ad esempio, la seguente politica limita il ruolo del profilo dell'istanza all'accesso a una AWS KMS chiave specifica e limita l'accesso alle risorse gestite RDS Custom tra istanze che utilizzano chiavi diverse. AWS KMS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyOtherKmsKeyAccess",
            "Effect": "Deny",
            "Action": "kms:*",
            "NotResource": "arn:aws:kms:region:acct_id:key/KMS_key_ID"
        },
        {
            "Sid": "NoBoundarySetByDefault",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Nota

Assicurati che il limite delle autorizzazioni non blocchi le autorizzazioni concesse a RDS Custom. AmazonRDSCustomInstanceProfileRolePolicy