Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prima di creare e gestire un'istanza database per l'istanza database di Amazon RDS Custom per SQL Server, assicurarsi di eseguire le seguenti attività.
Indice
Nota
Per un step-by-step tutorial su come configurare i prerequisiti e avviare Amazon RDS Custom for SQL Server, consulta Introduzione ad Amazon RDS Custom for SQL Server utilizzando un CloudFormation modello (configurazione di rete)
Prerequisiti per la configurazione di RDS Custom for SQL Server
Prima di creare un'istanza database di RDS Custom per SQL Server, assicurati che l'ambiente soddisfi i requisiti descritti in questo argomento. Puoi anche utilizzare il CloudFormation modello per configurare i prerequisiti all'interno del tuo. Account AWS Per ulteriori informazioni, consulta Configurazione con AWS CloudFormation
RDS Custom for SQL Server richiede la configurazione dei seguenti prerequisiti:
Configura le autorizzazioni AWS Identity and Access Management (IAM) richieste per la creazione dell'istanza. Si tratta dell'utente o del ruolo AWS Identity and Access Management (IAM) necessario per effettuare una
create-db-instancerichiesta a RDS.-
Configura le risorse prerequisite richieste dall'istanza DB RDS Custom for SQL Server:
-
Configura la AWS KMS chiave richiesta per la crittografia dell'istanza RDS Custom. RDS Custom richiede una chiave gestita dal cliente al momento della creazione dell'istanza per la crittografia. L'ARN, l'ID, l'alias ARN o il nome alias della chiave KMS viene passato
kms-key-idcome parametro nella richiesta di creazione dell'istanza DB personalizzata RDS. Configura le autorizzazioni richieste all'interno dell'istanza DB di RDS Custom for SQL Server. RDS Custom associa un profilo di istanza all'istanza DB al momento della creazione e lo utilizza per l'automazione all'interno dell'istanza DB. Il nome del profilo dell'istanza è impostato su
custom-iam-instance-profilenella richiesta di creazione personalizzata RDS. È possibile creare un profilo di istanza da AWS Management Console o creare manualmente il proprio profilo di istanza. Per ulteriori informazioni, consulta Creazione automatica del profilo di istanza utilizzando il AWS Management Console e Creazione manuale del ruolo IAM e del profilo dell'istanza.Configurare la configurazione di rete in base ai requisiti di RDS Custom for SQL Server. Le istanze RDS Custom risiedono nelle sottoreti (configurate con il gruppo di sottoreti DB) fornite al momento della creazione dell'istanza. Queste sottoreti devono consentire alle istanze RDS Custom di comunicare con i servizi richiesti per l'automazione RDS.
-
Nota
Per i requisiti sopra menzionati, assicurati che non esistano politiche di controllo del servizio (SCP) che limitino le autorizzazioni a livello di account.
Se l'account che stai utilizzando fa parte di un'organizzazione AWS , potrebbe disporre di policy di controllo dei servizi che limitano le autorizzazioni a livello di account. Assicurati che le SCP non limitino le autorizzazioni per gli utenti e i ruoli creati utilizzando le seguenti procedure.
Per ulteriori informazioni sulle SCP, consulta Policy di controllo dei servizi (Service Control Policies, SCP) nella Guida per l'utente di AWS Organizations . Usa il AWS CLI comando describe-organization per verificare se il tuo account fa parte di un'organizzazione. AWS
Per ulteriori informazioni su AWS Organizations, consulta What is AWS Organizations nella AWS Organizations User Guide.
Per i requisiti generali applicabili a RDS Custom per SQL Server, vedere Requisiti generali per RDS Custom per SQL Server.
Creazione automatica del profilo di istanza utilizzando il AWS Management Console
RDS Custom richiede la creazione e la configurazione di un profilo di istanza per avviare qualsiasi istanza DB di RDS Custom for SQL Server. Utilizza il AWS Management Console per creare e allegare un nuovo profilo di istanza in un unico passaggio. Questa opzione è disponibile nella sezione RDS Custom security nelle pagine Create database, Restore snapshot e Restore to point-in-time console. Scegli Crea un nuovo profilo di istanza per fornire un suffisso per il nome del profilo di istanza. AWS Management Console crea un nuovo profilo di istanza con le autorizzazioni necessarie per le attività di automazione RDS Custom. Per creare automaticamente nuovi profili di istanza, l' AWS Management Console utente che ha effettuato l'accesso deve disporre diiam:CreateInstanceProfile,iam:AddRoleToInstanceProfile, iam:CreateRole e autorizzazioni. iam:AttachRolePolicy
Nota
Questa opzione è disponibile solo in. AWS Management Console Se utilizzi la CLI o l'SDK, utilizza il CloudFormation modello RDS personalizzato o crea manualmente un profilo di istanza. Per ulteriori informazioni, consulta Creazione manuale del ruolo IAM e del profilo dell'istanza.
Fase 1: concedere le autorizzazioni necessarie al responsabile IAM
Assicurati di avere accesso sufficiente per creare un'istanza RDS Custom. Il ruolo IAM o l'utente IAM (denominato principale IAM) per la creazione di un'istanza DB RDS Custom for SQL Server utilizzando la console o la CLI deve disporre di una delle seguenti politiche per una corretta creazione dell'istanza DB:
-
La policy
AdministratorAccess -
La policy
AmazonRDSFullAccesscon le seguenti autorizzazioni aggiuntive:iam:SimulatePrincipalPolicy cloudtrail:CreateTrail cloudtrail:StartLogging s3:CreateBucket s3:PutBucketPolicy s3:PutBucketObjectLockConfiguration s3:PutBucketVersioning kms:CreateGrant kms:DescribeKey kms:Decrypt kms:ReEncryptFrom kms:ReEncryptTo kms:GenerateDataKeyWithoutPlaintext kms:GenerateDataKey ec2:DescribeImages ec2:RunInstances ec2:CreateTagsRDS Custom utilizza queste autorizzazioni durante la creazione dell'istanza. Queste autorizzazioni configurano le risorse dell'account necessarie per le operazioni RDS Custom.
Per ulteriori informazioni sull'autorizzazione
kms:CreateGrant, consulta AWS KMS key gestione.
La policy JSON di esempio seguente fornisce le autorizzazioni necessarie.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ValidateIamRole",
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "*"
},
{
"Sid": "CreateCloudTrail",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateTrail",
"cloudtrail:StartLogging"
],
"Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
},
{
"Sid": "CreateS3Bucket",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPolicy",
"s3:PutBucketObjectLockConfiguration",
"s3:PutBucketVersioning"
],
"Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
},
{
"Sid": "CreateKmsGrant",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}Il principale IAM richiede le seguenti autorizzazioni aggiuntive per funzionare con le versioni personalizzate del motore (CEV):
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigureKmsKeyEncryptionPermission", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:account_id:key/key_id" }, { "Sid": "CreateEc2Instance", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:RunInstances", "ec2:CreateTags" ], "Resource": "*" } ] }
Sostituisci account_id con l'ID dell'account che stai utilizzando per creare l'istanza. Sostituisci la regione con quella Regione AWS che stai utilizzando per creare l'istanza. Sostituisci key_id con l'ID della chiave gestita dal cliente. Se necessario, puoi aggiungere più chiavi.
Inoltre, il principale IAM richiede l'autorizzazione iam:PassRole sul ruolo IAM. Deve essere collegata al profilo dell'istanza passato nel parametro custom-iam-instance-profile nella richiesta di creazione dell'istanza database di RDS Custom. Il profilo dell'istanza e il suo ruolo collegato vengono creati in seguito in Fase 2: Configurazione della rete, del profilo dell'istanza e della crittografia.
Nota
Assicurati che le autorizzazioni elencate in precedenza non siano limitate da policy di controllo dei servizi, da limiti delle autorizzazioni o da policy di sessione associati al principale IAM.
Fase 2: Configurazione della rete, del profilo dell'istanza e della crittografia
Puoi configurare il ruolo del profilo dell'istanza IAM, il cloud privato virtuale (VPC) e la chiave di crittografia AWS KMS simmetrica utilizzando uno dei seguenti processi:
-
Configurazione con AWS CloudFormation (consigliato)
Nota
Se il tuo account fa parte di uno di essi AWS Organizations, assicurati che le autorizzazioni richieste dal ruolo del profilo dell'istanza non siano limitate dalle policy di controllo del servizio (SCP).
Le configurazioni di rete riportate in questo argomento funzionano meglio con istanze DB che non sono accessibili pubblicamente. Non è possibile connettersi direttamente a tali istanze DB dall'esterno del VPC.
Configurazione con AWS CloudFormation
Per semplificare la configurazione, puoi utilizzare un file AWS CloudFormation modello per creare uno CloudFormation stack. Un CloudFormation modello crea tutte le reti, i profili di istanza e le risorse di crittografia in base ai requisiti di RDS Custom.
Per informazioni su come creare pile, consulta Creazione di uno stack sulla AWS CloudFormation console nella Guida per l'utente.AWS CloudFormation
Per un tutorial su come avviare Amazon RDS Custom for SQL Server utilizzando un AWS CloudFormation modello, consulta Get started with Amazon RDS Custom for SQL Server using an AWS CloudFormation template
Argomenti
Parametri richiesti da CloudFormation
I seguenti parametri sono necessari per configurare le risorse dei prerequisiti RDS Custom con: CloudFormation
| Gruppo di parametri | Nome del parametro | Valore predefinito | Descrizione |
|---|---|---|---|
| Configurazione della disponibilità | Seleziona una configurazione di disponibilità per l'impostazione dei prerequisiti | Multi-AZ | Specificare se impostare i prerequisiti nella configurazione Single-AZ o Multi-AZ per le istanze RDS Custom. È necessario utilizzare la configurazione Multi-AZ se è necessaria almeno un'istanza DB Multi-AZ in questa configurazione |
| Configurazione di rete | Blocco CIDR IPv4 per VPC | 10.0.0.0/16 | Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) per il VPC. Questo VPC è configurato per creare e utilizzare un'istanza DB personalizzata RDS. |
| Blocco CIDR IPv4 per 1 delle 2 sottoreti private | 10.0.128.0/20 | Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) per la prima sottorete privata. Questa è una delle due sottoreti in cui è possibile creare l'istanza DB personalizzata RDS. Si tratta di una sottorete privata senza accesso a Internet. |
|
| Blocco CIDR IPv4 per 2 sottoreti private su 2 | 10.0.144.0/20 | Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) per la seconda sottorete privata. Questa è una delle due sottoreti in cui è possibile creare l'istanza DB personalizzata RDS. Si tratta di una sottorete privata senza accesso a Internet. |
|
| Blocco CIDR IPv4 per sottorete pubblica | 10.0.0.0/20 | Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) per la sottorete pubblica. Questa è una delle sottoreti in cui l'istanza EC2 può connettersi con l'istanza DB personalizzata RDS. Si tratta di una sottorete pubblica con accesso a Internet. |
|
| Configurazione dell'accesso RDP | Blocco CIDR IPv4 del codice sorgente | ‐ | Specificate un blocco CIDR IPv4 (o intervallo di indirizzi IP) della fonte. Questo è l'intervallo IP da cui si effettua la connessione RDP all'istanza EC2 nella sottorete pubblica. Se non è impostata, la connessione RDP all'istanza EC2 non è configurata. |
| Imposta l'accesso RDP all'istanza RDS Custom for SQL Server | No | Specificare se abilitare la connessione RDP dall'istanza EC2 all'istanza RDS Custom for SQL Server. Per impostazione predefinita, la connessione RDP dall'istanza EC2 all'istanza DB non è configurata. |
La corretta creazione dello CloudFormation stack utilizzando le impostazioni predefinite crea le seguenti risorse nel tuo Account AWS:
-
Chiave KMS di crittografia simmetrica per la crittografia dei dati gestiti da RDS Custom.
-
Il profilo dell'istanza è associato a un ruolo IAM
AmazonRDSCustomInstanceProfileRolePolicyper fornire le autorizzazioni richieste da RDS Custom. Per ulteriori informazioni, consulta Amazon RDS CustomServiceRolePolicy nella Managed Policy Reference Guide.AWS -
VPC con l'intervallo CIDR specificato come parametro. CloudFormation Il valore predefinito è
10.0.0.0/16. -
Due sottoreti private con l'intervallo CIDR specificato nei parametri e due diverse zone di disponibilità nella Regione AWS. I valori predefiniti per i CIDR sottorete sono
10.0.128.0/20e10.0.144.0/20. Una sottorete pubblica con l'intervallo CIDR specificato nei parametri. Il valore predefinito per la sottorete CIDR è 10.0.0.0/20. L'istanza EC2 risiede in questa sottorete e può essere utilizzata per connettersi all'istanza RDS Custom.
-
Opzione DHCP impostata per il VPC con risoluzione dei nomi di dominio su un server di sistema dei nomi di dominio (DNS) Amazon.
-
Tabella di instradamento da associare a due sottoreti private e nessun accesso a Internet.
Tabella di routing da associare alla sottorete pubblica e con accesso a Internet.
Gateway Internet associato al VPC per consentire l'accesso a Internet alla sottorete pubblica.
-
Elenco di controllo degli accessi alla rete (ACL) da associare a due sottoreti private e accesso limitato a HTTPS e alla porta DB all'interno di VPC.
-
Gruppo di sicurezza VPC da associare all'istanza di RDS Custom. L'accesso per l'HTTPS in uscita è limitato agli Servizio AWS endpoint richiesti da RDS Custom e alla porta DB in entrata dal gruppo di sicurezza delle istanze EC2.
Gruppo di sicurezza VPC da associare all'istanza EC2 nella sottorete pubblica. L'accesso è limitato per la porta DB in uscita al gruppo di sicurezza dell'istanza RDS Custom.
-
Gruppo di sicurezza VPC da associare agli endpoint VPC creati per gli endpoint richiesti da Servizio AWS RDS Custom.
-
Gruppo di sottoreti DB in cui vengono create istanze di RDS Custom. Due sottoreti private create da questo modello vengono aggiunte al gruppo di sottoreti DB.
-
Endpoint VPC per ciascuno degli Servizio AWS endpoint richiesti da RDS Custom.
L'impostazione della configurazione della disponibilità su multi-az creerà le seguenti risorse oltre all'elenco precedente:
Regole ACL di rete che consentono la comunicazione tra sottoreti private.
Accesso in entrata e in uscita alla porta Multi-AZ all'interno del gruppo di sicurezza VPC associato all'istanza RDS Custom.
Da endpoint VPC a endpoint AWS di servizio necessari per la comunicazione Multi-AZ.
Inoltre, l'impostazione della configurazione di accesso RDP crea le seguenti risorse:
Configurazione dell'accesso RDP alla sottorete pubblica dall'indirizzo IP di origine:
Regole ACL di rete che consentono la connessione RDP dall'IP di origine alla sottorete pubblica.
Accedi alla porta RDP dall'IP di origine al gruppo di sicurezza VPC associato all'istanza EC2.
Configurazione dell'accesso RDP dall'istanza EC2 nella sottorete pubblica all'istanza personalizzata RDS nelle sottoreti private:
Regole ACL di rete che consentono la connessione RDP dalla sottorete pubblica alle sottoreti private.
Accesso in entrata alla porta RDP dal gruppo di sicurezza VPC associato all'istanza EC2 al gruppo di sicurezza VPC associato all'istanza personalizzata RDS.
Utilizza le seguenti procedure per creare lo CloudFormation stack per RDS Custom for SQL Server.
Scarica il file modello AWS CloudFormation
Scaricare il file di modello
-
Apri il menu contestuale (fai clic con il pulsante destro del mouse) per il link custom-sqlserver-onboard.zip e scegli Salva collegamento con nome.
-
Salva ed estrai il file sul computer.
Configurazione delle risorse tramite CloudFormation
Per configurare le risorse utilizzando CloudFormation
-
Apri la CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation
. -
Per avviare la creazione guidata dello stack, scegli Create Stack (Crea stack).
Viene visualizzata la pagina Create stack (Crea stack).
-
Per Prerequisito - Prepara modello, scegliere Il modello è pronto.
-
Per Specify template (Specifica modello), procedi come segue:
-
Come Template source (Origine modello), scegliere Upload a template file (Carica un file di modello).
-
Per Scegli file, individua e quindi scegli il file corretto.
-
-
Seleziona Successivo.
Viene visualizzata la pagina Specify stack details (Specifica dettagli stack).
-
In Nome stack, immetti
rds-custom-sqlserver. -
Per Parameters (Parametri), effettua le seguenti operazioni:
-
Per mantenere le opzioni predefinite, scegli Next (Avanti).
-
Per modificare le opzioni, scegliete la configurazione di disponibilità appropriata, la configurazione di rete e la configurazione di accesso RDP, quindi scegliete Avanti.
Leggi attentamente la descrizione di ciascun parametro prima di modificare i parametri.
Nota
Se scegli di creare almeno un'istanza Multi-AZ in questo CloudFormation stack, assicurati che il parametro CloudFormation stack Seleziona una configurazione di disponibilità per la configurazione dei prerequisiti sia impostato su.
Multi-AZSe crei lo CloudFormation stack come Single-AZ, aggiorna lo stack alla configurazione Multi-AZ prima di creare la CloudFormation prima istanza Multi-AZ. -
-
Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).
-
Nella rds-custom-sqlserver pagina Revisione, procedi come segue:
-
In Capabilities (Capacità), selezionare la casella di spunta I acknowledge that AWS CloudFormation might create IAM resources with custom names (Conferma che potrebbe creare risorse IAM con nomi personalizzati).
-
Seleziona Crea stack.
-
Nota
Non aggiornate le risorse create da questo AWS CloudFormation stack direttamente dalle pagine delle risorse. Ciò impedisce di applicare aggiornamenti futuri a queste risorse utilizzando un AWS CloudFormation modello.
CloudFormation crea le risorse richieste da RDS Custom for SQL Server. Se la creazione dello stack non va a buon fine, leggi la scheda Events (Eventi) per vedere quale creazione risorsa non è andata a buon fine e il motivo dello stato.
La scheda Output per questo CloudFormation stack nella console dovrebbe contenere informazioni su tutte le risorse da passare come parametri per la creazione di un'istanza DB RDS Custom for SQL Server. Assicurati di utilizzare il gruppo di sicurezza VPC e il gruppo di sottoreti DB creati da CloudFormation per le istanze DB personalizzate RDS. Per impostazione predefinita, RDS tenta di collegare il gruppo di sicurezza VPC predefinito, che potrebbe non disporre dell'accesso necessario.
Se in passato creavi CloudFormation risorse, puoi saltare. Configurazione manuale
È inoltre possibile aggiornare alcune configurazioni dello CloudFormation stack dopo la creazione. Le configurazioni che possono essere aggiornate sono:
Configurazione della disponibilità per RDS Custom per SQL Server
Seleziona una configurazione di disponibilità per l'impostazione dei prerequisiti: aggiorna questo parametro per passare dalla configurazione Single-AZ a quella Multi-AZ. Se si utilizza questo CloudFormation stack per almeno un'istanza Multi-AZ, è necessario aggiornare lo stack per scegliere la configurazione Multi-AZ.
Configurazione di accesso RDP per RDS Custom per SQL Server
Blocco CIDR IPv4 dell'origine: è possibile aggiornare il blocco CIDR IPv4 (o intervallo di indirizzi IP) dell'origine aggiornando questo parametro. L'impostazione di questo parametro su vuoto rimuove la configurazione di accesso RDP dal blocco CIDR di origine alla sottorete pubblica.
Imposta l'accesso RDP a RDS Custom for SQL Server: abilita o disabilita la connessione RDP dall'istanza EC2 all'istanza RDS Custom for SQL Server.
È possibile eliminare lo CloudFormation stack dopo aver eliminato tutte le istanze RDS Custom che utilizzano risorse dallo stack. RDS Custom non tiene traccia dello CloudFormation stack, quindi non blocca l'eliminazione dello stack quando ci sono istanze DB che utilizzano risorse dello stack. Assicurati che non ci siano istanze DB RDS Custom che utilizzano le risorse dello stack durante l'eliminazione dello stack.
Nota
Quando elimini uno CloudFormation stack, tutte le risorse create dallo stack vengono eliminate tranne la chiave KMS. La chiave KMS entra in uno stato di eliminazione in sospeso e viene eliminata dopo 30 giorni. Per conservare la chiave KMS, esegui un'CancelKeyDeletionoperazione durante il periodo di prova di 30 giorni.
Configurazione manuale
Se scegli di configurare le risorse manualmente, esegui le seguenti operazioni.
Nota
Per semplificare la configurazione, puoi utilizzare il file AWS CloudFormation modello per creare uno CloudFormation stack anziché una configurazione manuale. Per ulteriori informazioni, consulta Configurazione con AWS CloudFormation.
È inoltre possibile utilizzare il AWS CLI per completare questa sezione. In tal caso, scarica e installa la CLI più recente.
Argomenti
Assicurati di disporre di una chiave di crittografia simmetrica AWS KMS
È richiesta una crittografia simmetrica per RDS AWS KMS key Custom. Quando crei un'istanza DB RDS Custom for SQL Server, assicurati di fornire l'identificatore della chiave KMS come parametro. kms-key-id Per ulteriori informazioni, consulta Creazione e connessione a un'istanza DB per Amazon RDS Custom for SQL Server.
Sono disponibili le seguenti opzioni:
-
Se hai già una chiave KMS gestita dal cliente Account AWS, puoi usarla con RDS Custom. Non è richiesta alcuna operazione aggiuntiva.
-
Se hai già creato una chiave KMS di crittografia simmetrica gestita dal cliente per un motore RDS Custom diverso, puoi riutilizzare la stessa chiave KMS. Non è richiesta alcuna operazione aggiuntiva.
-
Se non disponi di una chiave KMS di crittografia simmetrica gestita dal cliente esistente nel tuo account, crea una chiave KMS seguendo le istruzioni in Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .
-
Se stai creando un'istanza DB personalizzata CEV o RDS e la tua chiave KMS si trova in un'altra Account AWS, assicurati di utilizzare la. AWS CLI Non puoi utilizzare la AWS console con chiavi KMS per più account.
Importante
RDS Custom non supporta le chiavi KMS AWS gestite.
Assicurati che la tua chiave di crittografia simmetrica conceda l'accesso al ruolo kms:Decrypt and kms:GenerateDataKey operations to the AWS Identity and Access Management (IAM) nel profilo dell'istanza IAM. Se hai una nuova chiave di crittografia simmetrica nel tuo account, non sono necessarie modifiche. Altrimenti, assicurati che la policy della chiave di crittografia simmetrica fornisca l'accesso a queste operazioni.
Per ulteriori informazioni, consulta Fase 4: Configurazione di IAM for RDS Custom per Oracle.
Creazione manuale del ruolo IAM e del profilo dell'istanza
Puoi creare manualmente un profilo di istanza e utilizzarlo per avviare istanze RDS Custom. Se intendi creare l'istanza in AWS Management Console, salta questa sezione. AWS Management Console Consente di creare e allegare un profilo di istanza alle istanze DB personalizzate RDS. Per ulteriori informazioni, consulta Creazione automatica del profilo di istanza utilizzando il AWS Management Console.
Quando crei manualmente un profilo di istanza, passa il nome del profilo dell'istanza come custom-iam-instance-profile parametro al comando create-db-instance CLI. RDS Custom utilizza il ruolo associato a questo profilo di istanza per eseguire l'automazione e gestire l'istanza.
Per utilizzare il profilo dell'istanza IAM e ruoli IAM per RDS Custom per SQL Server
-
Creare il ruolo IAM denominato
AWSRDSCustomSQLServerInstanceRolecon una policy di attendibilità che Amazon EC2 può utilizzare per assumere questo ruolo. -
Aggiungi la policy AWS gestita
AmazonRDSCustomInstanceProfileRolePolicya.AWSRDSCustomSQLServerInstanceRole -
Crea un profilo dell'istanza IAM per RDS Custom per SQL Server denominato
AWSRDSCustomSQLServerInstanceProfile. -
Aggiungere
AWSRDSCustomSQLServerInstanceRoleal profilo dell'istanza.
Crea il ruolo AWSRDSCustomSQLServerInstanceRole IAM
L'esempio seguente crea il ruolo AWSRDSCustomSQLServerInstanceRole. Utilizzando la policy di affidabilità, Amazon EC2 può assumere il ruolo.
aws iam create-role \
--role-name AWSRDSCustomSQLServerInstanceRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
}
}
]
}'Aggiungi una politica di accesso a AWSRDSCustomSQLServerInstanceRole
Per fornire le autorizzazioni richieste, allega la politica AWS gestita AmazonRDSCustomInstanceProfileRolePolicy aAWSRDSCustomSQLServerInstanceRole. AmazonRDSCustomInstanceProfileRolePolicyconsente alle istanze RDS Custom di inviare e ricevere messaggi ed eseguire varie azioni di automazione.
Nota
Assicurati che le autorizzazioni nella policy di accesso non siano limitate da SCP o dai limiti di autorizzazione associati al ruolo del profilo dell'istanza.
L'esempio seguente associa una policy AWS gestita AWSRDSCustomSQLServerIamRolePolicy al ruolo. AWSRDSCustomSQLServerInstanceRole
aws iam attach-role-policy \ --role-name AWSRDSCustomSQLServerInstanceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy
Creare un profilo dell'istanza RDS Custom for SQL server
Un profilo dell'istanza è un container che include un ruolo IAM singolo. RDS Custom utilizza il profilo dell'istanza per trasferire il ruolo all'istanza.
Se utilizzi il per AWS Management Console creare un ruolo per Amazon EC2, la console crea automaticamente un profilo di istanza e gli assegna lo stesso nome del ruolo al momento della creazione del ruolo. Creare il profilo dell'istanza IAM come segue, denominandolo AWSRDSCustomSQLServerInstanceProfile.
aws iam create-instance-profile \
--instance-profile-name AWSRDSCustomSQLServerInstanceProfileAggiungi AWSRDSCustomSQLServerInstanceRole al tuo profilo di istanza RDS Custom for SQL Server
Aggiungi il AWSRDSCustomInstanceRoleForRdsCustomInstance ruolo al AWSRDSCustomSQLServerInstanceProfile profilo creato in precedenza.
aws iam add-role-to-instance-profile \
--instance-profile-name AWSRDSCustomSQLServerInstanceProfile \
--role-name AWSRDSCustomSQLServerInstanceRoleConfigurazione manuale del VPC
L'istanza database di RDS Custom si trova in un cloud privato virtuale (VPC) basato sul servizio Amazon VPC, proprio come un'istanza Amazon EC2 o un'istanza Amazon RDS. Fornisci e configuri il VPC personalizzato. Pertanto, hai il pieno controllo sulla configurazione della rete delle istanze.
RDS Custom invia la comunicazione dall'istanza database ad altri Servizi AWS. Assicurati che i seguenti servizi siano accessibili dalla sottorete in cui crei le tue istanze DB personalizzate RDS:
-
Amazon CloudWatch
-
CloudWatch Registri Amazon
-
CloudWatch Eventi Amazon
-
Amazon EC2
-
Amazon EventBridge
-
Amazon S3
-
AWS Secrets Manager
-
AWS Systems Manager
Se si creano implementazioni Multi-AZ
Amazon Simple Queue Service
Se RDS Custom non è in grado di comunicare con i servizi necessari, pubblica i seguenti eventi:
Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"Per evitare incompatible-network errori, assicurati che i componenti VPC coinvolti nella comunicazione tra l'istanza DB personalizzata di RDS Servizi AWS soddisfino i seguenti requisiti:
-
L'istanza database può effettuare connessioni in uscita sulla porta 443 ad altri Servizi AWS.
-
Il VPC consente risposte in entrata alle richieste che originano dall'istanza database RDS Custom.
-
RDS Custom può risolvere correttamente i nomi di dominio degli endpoint per ogni Servizio AWS.
Se hai già configurato un VPC per un motore di database RDS Custom diverso, puoi riutilizzare tale VPC e ignorare questo processo.
Argomenti
Configura il tuo gruppo di sicurezza VPC
Un gruppo di sicurezza funge da firewall virtuale per un'istanza VPC, controllando il traffico in entrata e quello in uscita. Un'istanza DB personalizzata RDS dispone di un gruppo di sicurezza collegato all'interfaccia di rete che protegge l'istanza. Assicurati che il tuo gruppo di sicurezza consenta il traffico tra RDS Custom e altri Servizi AWS tramite HTTPS. Questo gruppo di sicurezza viene passato come vpc-security-group-ids parametro nella richiesta di creazione dell'istanza.
Per configurare il gruppo di sicurezza per RDS Custom
-
Consenti a RDS Custom di utilizzare il gruppo di sicurezza predefinito o di creare un gruppo di sicurezza personalizzato.
Per istruzioni dettagliate, vedi Fornisci l'accesso alla tua istanza DB VPC tramite la creazione di un gruppo di sicurezza.
-
Assicurati che il gruppo di sicurezza consenta le connessioni in uscita sulla porta 443. RDS Custom ha bisogno di questa porta per comunicare con Servizi AWS dipendenti.
-
Se disponi di un VPC privato e utilizzi endpoint VPC, assicurati che il gruppo di sicurezza associato all'istanza database consenta le connessioni in uscita sulla porta 443 a endpoint VPC. Assicurati inoltre che il gruppo di sicurezza associato all'endpoint VPC consenta connessioni in entrata sulla porta 443 dall'istanza database.
Se le connessioni in entrata non sono consentite, l'istanzaRDS Custom non è in grado di connettersi a AWS Systems Manager e agli endpoint Amazon EC2. Per ulteriori informazioni, consulta Creazione di un endpoint di un Virtual Private Cloud nella Guida per l'utente di AWS Systems Manager .
-
Per le istanze RDS Custom for SQL Server Multi-AZ, assicurati che il gruppo di sicurezza associato all'istanza DB consenta le connessioni in entrata e in uscita sulla porta 1120 verso questo gruppo di sicurezza stesso. Ciò è necessario per la connessione peer-host su un'istanza DB Multi-AZ RDS Custom for SQL Server.
Per ulteriori informazioni sui gruppi di sicurezza, consulta Gruppi di sicurezza per il VPC nella Guida per gli sviluppatori Amazon VPC.
Configura gli endpoint per dipendenti Servizi AWS
È consigliato aggiungere endpoint per ogni servizio VPC utilizzando le seguenti istruzioni. Tuttavia, puoi utilizzare qualsiasi soluzione che consenta al tuo VPC di comunicare con gli endpoint del AWS servizio. Ad esempio, è possibile utilizzare Network Address Translation (NAT) o AWS Direct Connect.
Per configurare gli endpoint Servizi AWS con cui funziona RDS Custom
Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Per cambiare regione, usa il selettore di regione nella barra di navigazione per scegliere Regione AWS.
-
Nel pannello di navigazione, seleziona Endpoints (Endpoint). Nel riquadro principale, seleziona Create Endpoint (Crea endpoint).
-
Per Service category (Categoria servizio), scegli Servizi AWS.
-
Per Service Name (Nome servizio), scegliere l'endpoint mostrato nella tabella.
-
In VPC, seleziona il VPC.
-
In Subnets (Sottoreti), scegli una sottorete per ogni zona di disponibilità da includere.
L'endpoint VPC può estendersi su più zone di disponibilità. AWS crea un'interfaccia di rete elastica per l'endpoint VPC in ogni sottorete scelta. Ogni interfaccia di rete dispone di un nome host Domain Name System (DNS) e di un indirizzo IP privato.
-
Per Security groups (Gruppi di sicurezza), seleziona o crea un gruppo di sicurezza.
Puoi utilizzare i gruppi di sicurezza per controllare l'accesso al tuo endpoint, come se utilizzassi un firewall. Assicurati che il gruppo di sicurezza consenta le connessioni in entrata sulla porta 443 dalle istanze DB. Per ulteriori informazioni sui gruppi di sicurezza, consulta Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.
-
Facoltativamente, puoi collegare una policy all'endpoint VPC. Le policy degli endpoint possono controllare l'accesso al sistema Servizio AWS a cui ti stai connettendo. La policy predefinita consente a tutte le richieste di passare attraverso l'endpoint. Se utilizzi una policy personalizzata, assicurati che le richieste dall'istanza database siano consentite nella policy.
-
Seleziona Crea endpoint.
Nella tabella seguente viene illustrato come trovare l'elenco degli endpoint di cui il VPC ha bisogno per le comunicazioni in uscita.
| Servizio | Formato dell'endpoint | Note e link |
|---|---|---|
|
AWS Systems Manager |
Utilizzare i seguenti formati dell'endpoint:
|
Per un elenco di tutti gli endpoint in ogni regione, consulta Endpoint e quote di AWS Systems Manager in Riferimenti generali di Amazon Web Services. |
|
AWS Secrets Manager |
Utilizzare il formato dell'endpoint |
Per un elenco di tutti gli endpoint in ogni regione, consulta Endpoint e quote di AWS Secrets Manager in Riferimenti generali di Amazon Web Services. |
|
Amazon CloudWatch |
Utilizzare i seguenti formati dell'endpoint:
|
Per l'elenco degli endpoint in ogni regione, consultare:
|
|
Amazon EC2 |
Utilizzare i seguenti formati dell'endpoint:
|
Per un elenco completo degli endpoint in ogni regione, consulta Endpoint e quote di Amazon Elastic Compute Cloud in Riferimenti generali di Amazon Web Services. |
|
Amazon S3 |
Utilizzare il formato dell'endpoint |
Per un elenco completo degli endpoint in ogni regione, consulta Endpoint e quote di Amazon Simple Storage Service in Riferimenti generali di Amazon Web Services. Per ulteriori informazioni sugli endpoint gateway per Simple Storage Service (Amazon S3), consultare Endpoint per Amazon S3 nella Guida per gli sviluppatori Amazon VPC. Per informazioni su come creare un punto di accesso, consultare Creazione di access point nella Guida per gli sviluppatori Amazon VPC. Per informazioni su come creare endpoint gateway per Simple Storage Service (Amazon S3), consultare Endpoint VPC gateway. |
|
Amazon Simple Queue Service |
Usa il formato endpoint sqs. |
Per l'elenco degli endpoint in ogni regione, consulta Endpoint e quote di Amazon Simple Queue Service. |
Configurazione del servizio di metadati dell'istanza
Verificare che l'istanza possa fare:
-
Accedere ai metadati dell'istanza utilizzando la versione 2 del servizio di metadati dell'istanza (IMDSv2).
-
Consenti comunicazioni in uscita tramite la porta 80 (HTTP) all'indirizzo IP del collegamento IMDS.
-
Richiedere metadati dell'istanza da
http://169.254.169.254, il link IMDSv2.
Per ulteriori informazioni, consulta Use IMDSv2 nella Amazon EC2 User Guide.
Restrizione tra istanze
Quando si crea un profilo di istanza seguendo i passaggi precedenti, viene utilizzata la policy AWS gestita AmazonRDSCustomInstanceProfileRolePolicy per fornire le autorizzazioni necessarie a RDS Custom, che consente la gestione delle istanze e l'automazione del monitoraggio. La politica gestita garantisce che le autorizzazioni consentano l'accesso solo alle risorse necessarie a RDS Custom per eseguire l'automazione. Si consiglia di utilizzare la policy gestita per supportare nuove funzionalità e soddisfare i requisiti di sicurezza che vengono applicati automaticamente ai profili di istanza esistenti senza intervento manuale. Per ulteriori informazioni, consulta la policy AWS gestita: AmazonRDSCuso m. InstanceProfileRolePolicy
La politica AmazonRDSCustomInstanceProfileRolePolicy gestita limita l'accesso a più account del profilo dell'istanza, ma potrebbe consentire l'accesso ad alcune risorse gestite di RDS Custom tra istanze RDS Custom all'interno dello stesso account. In base alle tue esigenze, puoi utilizzare i limiti di autorizzazione per limitare ulteriormente l'accesso tra istanze. I limiti di autorizzazione definiscono le autorizzazioni massime che le politiche basate sull'identità possono concedere a un'entità, ma non concedono le autorizzazioni di per sé. Per ulteriori informazioni, consulta Valutazione delle autorizzazioni effettive con limiti.
Ad esempio, la seguente politica limita il ruolo del profilo dell'istanza all'accesso a una AWS KMS chiave specifica e limita l'accesso alle risorse gestite RDS Custom tra istanze che utilizzano chiavi diverse. AWS KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyOtherKmsKeyAccess", "Effect": "Deny", "Action": "kms:*", "NotResource": "arn:aws:kms:region:acct_id:key/KMS_key_ID" }, { "Sid": "NoBoundarySetByDefault", "Effect": "Allow", "Action": "*", "Resource": "*" } ] }
Nota
Assicurati che il limite delle autorizzazioni non blocchi le autorizzazioni concesse a RDS Custom. AmazonRDSCustomInstanceProfileRolePolicy
