Configurar seu ambiente para o Amazon RDS Custom for Oracle - Amazon Relational Database Service
Etapa 1: Criar ou reutilizar uma chave AWS KMS de criptografia simétricaEtapa 2: Baixar e instalar a AWS CLIEtapa 3: Extrair os modelos do CloudFormation para RDS Custom para OracleEtapa 4: Configurar o IAM para RDS Custom para OracleEtapa 5: Conceder as permissões necessárias ao usuário ou ao perfil do IAMEtapa 6: Configurar a VPC para RDS Custom para Oracle

Configurar seu ambiente para o Amazon RDS Custom for Oracle

Antes de criar uma instância de banco de dados do Amazon RDS Custom para Oracle, realize as tarefas a seguir.

Etapa 1: Criar ou reutilizar uma chave AWS KMS de criptografia simétrica

Chaves gerenciadas pelo cliente são AWS KMS keys em sua conta da AWS criadas, pertencentes e gerenciadas por você. Uma chave do KMS de criptografia simétrica gerenciada pelo cliente é necessária para o RDS Custom. Ao criar uma instância de banco de dados do RDS Custom for Oracle, forneça o identificador de chave do KMS. Para ter mais informações, consulte Configurar uma instância de banco de dados para o Amazon RDS Custom para Oracle.

Você tem as seguintes opções:

  • Se você tiver uma chave do KMS gerenciada pelo cliente em sua Conta da AWS, poderá usá-la com o RDS Custom. Nenhuma outra ação é necessária.

  • Se você já tiver criado uma chave do KMS de criptografia simétrica gerenciada pelo cliente para outro mecanismo do RDS Custom, poderá reutilizar a mesma chave do KMS. Nenhuma outra ação é necessária.

  • Se você não tiver uma chave do KMS de criptografia simétrica gerenciada pelo cliente em sua conta, crie uma seguindo as instruções em Criar chaves no Guia do desenvolvedor do AWS Key Management Service.

  • Se você estiver criando uma instância de banco de dados do CEV ou do RDS Custom e sua chave do KMS estiver em outra Conta da AWS, use a AWS CLI. Você não pode usar o console da AWS com chaves do KMS de várias contas.

Importante

O RDS Custom não é compatível com chaves do KMS gerenciadas pela AWS.

A chave de criptografia simétrica deve conceder acesso às operações kms:Decrypt e kms:GenerateDataKey ao perfil do AWS Identity and Access Management (IAM) em seu perfil de instância do IAM. Se você tiver uma nova chave de criptografia simétrica em sua conta, nenhuma alteração será necessária. Do contrário, a política de sua chave de criptografia simétrica precisará conceder acesso a essas operações.

Para ter mais informações, consulte Etapa 4: Configurar o IAM para RDS Custom para Oracle.

Para ter mais informações sobre como configurar o IAM para o RDS Custom para Oracle, consulte Etapa 4: Configurar o IAM para RDS Custom para Oracle.

Etapa 2: Baixar e instalar a AWS CLI

A AWS fornece uma interface de linha de comando para utilizar os recursos do RDS Custom. Você pode utilizar a versão 1 ou a versão 2 do AWS CLI.

Para obter informações sobre como baixar e instalar a AWS CLI, consulte Instalar ou atualizar para a versão mais recente da AWS CLI.

Ignore esta etapa se uma das seguintes situações for verdadeira:

  • Você planeja acessar o RDS Custom somente por meio do AWS Management Console.

  • Você já baixou a AWS CLI para o Amazon RDS ou outro mecanismo de banco de dados do RDS Custom.

Etapa 3: Extrair os modelos do CloudFormation para RDS Custom para Oracle

Para simplificar a configuração, é altamente recomendável utilizar modelos do AWS CloudFormation para criar pilhas do CloudFormation. Se você planeja configurar o IAM e a VPC manualmente, ignore esta etapa.

Etapa 3a: Baixar os arquivos de modelo do CloudFormation

Um modelo do CloudFormation é uma declaração de recursos da AWS que compõem uma pilha. O modelo é armazenado como um arquivo JSON.

Como baixar os arquivos de modelo do CloudFormation

  1. Abra o menu de contexto (clique com o botão direito do mouse) do link custom-oracle-iam.zip e selecione Save Link As (Salvar link como).

  2. Salve o arquivo no computador.

  3. Repita as etapas anteriores para o link custom-vpc.zip.

    Se já tiver configurado sua VPC para o RDS Custom, ignore essa etapa.

Etapa 3b: Extrair custom-oracle-iam.json

Abra o arquivo custom-oracle-iam.zip que você baixou e, depois, extraia o arquivo custom-oracle-iam.json. O início do arquivo tem a aparência a seguir.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "EncryptionKey": {
      "Type": "String",
      "Default": "*",
      "Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances."
    }
  },
  "Resources": {
    "RDSCustomInstanceServiceRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" },
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                "Service": "ec2.amazonaws.com"
              }
            }
          ]
        },...

Etapa 3c: Extrair custom-vpc.json

nota

Se você já tiver configurado uma VPC para o RDS Custom para Oracle, poderá ignorar esta etapa. Para ter mais informações, consulte Configurar a VPC manualmente para RDS Custom para Oracle.

Abra o arquivo custom-vpc.zip que você baixou e, depois, extraia o arquivo custom-vpc.json. O início do arquivo tem a aparência a seguir.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "PrivateVpc": {
      "Type": "AWS::EC2::VPC::Id",
      "Description": "Private VPC Id to use for RDS Custom DB Instances"
    },
    "PrivateSubnets": {
      "Type": "List<AWS::EC2::Subnet::Id>",
      "Description": "Private Subnets to use for RDS Custom DB Instances"
    },
    "RouteTable": {
      "Type": "String",
      "Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint",
      "AllowedPattern": "rtb-[0-9a-z]+"
    }
  },
  "Resources": {
    "DBSubnetGroup": {
      "Type": "AWS::RDS::DBSubnetGroup",
      "Properties": {
        "DBSubnetGroupName": "rds-custom-private",
        "DBSubnetGroupDescription": "RDS Custom Private Network",
        "SubnetIds": {
          "Ref": "PrivateSubnets"
        }
      }
    },...

Etapa 4: Configurar o IAM para RDS Custom para Oracle

Use um perfil ou um usuário do IAM (conhecido como entidade do IAM) para criar uma instância de banco de dados do RDS Custom usando o console ou a AWS CLI. Essa entidade do IAM deve ter as permissões necessárias para a criação de instância.

É possível configurar o IAM usando o CloudFormation ou etapas manuais.

Importante

É altamente recomendável configurar seu ambiente do RDS Custom para Oracle usando AWS CloudFormation. Essa técnica é a mais fácil e menos propensa a erros.

Configurar o IAM utilizando o CloudFormation

Quando você usa o modelo do CloudFormation para IAM, ele cria os seguintes recursos necessários:

  • Um perfil de instância denominado AWSRDSCustomInstanceProfile-region.

  • Um perfil de serviço denominado AWSRDSCustomInstanceRole-region

  • Uma política de acesso denominada AWSRDSCustomIamRolePolicy anexada ao perfil de serviço

Para configurar o IAM utilizando o CloudFormation

  1. Abra o console do CloudFormation em https://console.aws.amazon.com/cloudformation.

  2. Inicie o assistente de criação de pilha e selecione Create Stack (Criar pilha).

  3. Na página Create a stack (Criar uma pilha), faça o seguinte:

    1. Em Prepare template (Preparar modelo), selecione Template is ready (O modelo está pronto).

    2. Para Template source (Origem do template), escolha Upload a template file (Fazer upload de um arquivo de template).

    3. Em Escolher arquivo, navegue até custom-oracle-iam.json e selecione-o.

    4. Escolha Próximo.

  4. Na página Specify stack details (Especificar detalhes da pilha), faça o seguinte:

    1. Para Stack name (Nome da pilha), insira custom-oracle-iam.

    2. Escolha Próximo.

  5. Na página Configurar opções de pilha, selecione Avançar.

  6. Na página Review custom-oracle-iam (Revisar custom-oracle-iam), faça o seguinte:

    1. Marque a caixa de seleção Confirmo que o AWS CloudFormation pode criar recursos do IAM com nomes personalizados.

    2. Selecione Enviar.

    O CloudFormation cria as funções do IAM necessárias para o RDS Custom for Oracle. No painel esquerdo, quando custom-oracle-iam mostrar CREATE_COMPLETE, vá para a próxima etapa.

  7. No painel à esquerda, selecione custom-oracle-iam. No painel à direita, faça o seguinte:

    1. Selecione Informações da pilha. Sua pilha tem um ID no formato arn:aws:cloudformation:region:account-no:stack/custom-oracle-iam/identifier.

    2. Escolha atributos. Você deve ver o seguinte:

      • Um perfil de instância denominado AWSRDSCustomInstanceProfile-region

      • Um perfil de serviço denominado AWSRDSCustomInstanceRole-region

      Ao criar sua instância de banco de dados do RDS Custom, você precisa fornecer o ID do perfil de instância.

Criar seu perfil do IAM e perfil de instância manualmente

A configuração é mais fácil quando você usa o CloudFormation. No entanto, você também pode configurar o IAM manualmente. Para configuração manual, faça o seguinte:

Etapa 1: Criar o perfil do IAM AWSRDSCustomInstanceRoleForRdsCustomInstance

Nesta etapa, você cria o perfil usando o formato de nomenclatura AWSRDSCustomInstanceRole-region. Utilizando a política de confiança, o Amazon EC2 pode assumir a função. O exemplo a seguir pressupõe que você definiu a variável de ambiente $REGION como a Região da AWS onde você deseja criar sua instância de banco de dados.

aws iam create-role \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Effect": "Allow",
          "Principal": {
              "Service": "ec2.amazonaws.com"
          }
        }
      ]
    }'

Etapa 2: Adicionar uma política de acesso a AWSRDSCustomInstanceRoleForRdsCustomInstance

Quando você incorpora uma política em linha em uma função do IAM, essa política é utilizada como parte da política de acesso (permissões) da função. Você cria a política AWSRDSCustomIamRolePolicy, que permite ao Amazon EC2 enviar e receber mensagens e realizar várias ações.

O exemplo a seguir cria a política de acesso chamada AWSRDSCustomIamRolePolicy e a adiciona à função do IAM AWSRDSCustomInstanceRole-region. Esse exemplo pressupõe que você definiu as seguintes variáveis de ambiente:

$REGION

Defina essa variável como a Região da AWS onde você planeja criar sua instância de banco de dados.

$ACCOUNT_ID

Defina essa variável como o número de sua Conta da AWS.

$KMS_KEY

Defina essa variável como o nome do recurso da Amazon (ARN) da AWS KMS key que você deseja usar para as suas instâncias de banco de dado do RDS Custom. Para especificar mais de uma chave do KMS, adicione-a à seção Resources do ID de instrução (Sid) 11.

aws iam put-role-policy \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --policy-name AWSRDSCustomIamRolePolicy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeAssociation",
                "ssm:GetDeployablePatchSnapshotForInstance",
                "ssm:GetDocument",
                "ssm:DescribeDocument",
                "ssm:GetManifest",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:ListAssociations",
                "ssm:ListInstanceAssociations",
                "ssm:PutInventory",
                "ssm:PutComplianceItems",
                "ssm:PutConfigurePackageResult",
                "ssm:UpdateAssociationStatus",
                "ssm:UpdateInstanceAssociationStatus",
                "ssm:UpdateInstanceInformation",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2messages:AcknowledgeMessage",
                "ec2messages:DeleteMessage",
                "ec2messages:FailMessage",
                "ec2messages:GetEndpoint",
                "ec2messages:GetMessages",
                "ec2messages:SendReply"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "logs:PutRetentionPolicy",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*"
            ]
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "s3:putObject",
                "s3:getObject",
                "s3:getObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::do-not-delete-rds-custom-*/*"
            ]
        },
        {
            "Sid": "5",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "RDSCustomForOracle/Agent"
                    ]
                }
            }
        },
        {
            "Sid": "6",
            "Effect": "Allow",
            "Action": [
                "events:PutEvents"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "7",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*"
            ]
        },
        {
           "Sid": "8",
           "Effect": "Allow",
           "Action": [
             "s3:ListBucketVersions"
           ],
           "Resource": [
             "arn:aws:s3:::do-not-delete-rds-custom-*"
           ]
         },
         {
            "Sid": "9",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSRDSCustom": "custom-oracle"
                }
            }
          },
          {
            "Sid": "10",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*"
            ]
          },
          {
            "Sid": "11",
            "Effect": "Allow",
            "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
            ],
            "Resource": [
              "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'"
            ]
          },
          {
            "Sid": "12",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:CreateAction": [
                        "CreateSnapshots"
                    ]
                }
            }
        }
    ]
}'

Etapa 3: Criar o perfil de instância do RDS Custom AWSRDSCustomInstanceProfile

Um perfil de instância é um contêiner que inclui um único perfil do IAM. O RDS Custom usa o perfil de instância para transmitir o perfil à instância.

Se você usar a CLI para criar um perfil, você cria o perfil e o perfil de instância como ações separadas, com nomes possivelmente diferentes. Crie seu perfil de instância do IAM da seguinte maneira, chamando-o de AWSRDSCustomInstanceProfile-region. O exemplo a seguir pressupõe que você definiu a variável de ambiente $REGION como a Região da AWS onde você deseja criar sua instância de banco de dados.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION

Etapa 4: Adicionar AWSRDSCustomInstanceRoleForRdsCustomInstance a AWSRDSCustomInstanceProfile

Adicione seu perfil do IAM ao perfil de instância que você criou anteriormente. O exemplo a seguir pressupõe que você definiu a variável de ambiente $REGION como a Região da AWS onde você deseja criar sua instância de banco de dados.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION \
    --role-name AWSRDSCustomInstanceRole-$REGION

Etapa 5: Conceder as permissões necessárias ao usuário ou ao perfil do IAM

Garanta que a entidade principal do IAM (usuário ou perfil) que cria a CEV ou a instância de banco de dados do RDS Custom tenha uma das seguintes políticas:

  • A política AdministratorAccess

  • A política AmazonRDSFullAccess com permissões necessárias para o Amazon S3 e o AWS KMS, criação da CEV e criação de instâncias de banco de dados.

Permissões necessárias do IAM para o Amazon S3 e o AWS KMS

Para criar CEVs ou instâncias de banco de dados do RDS Custom para Oracle, a entidade principal do IAM precisa acessar o Amazon S3 e o AWS KMS. O exemplo de política JSON a seguir concede as permissões necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Para ter mais informações sobre a permissão kms:CreateGrant, consulte Gerenciamento de AWS KMS key.

Permissões necessárias do IAM para criar uma CEV

Para criar uma CEV, a entidade principal do IAM precisa das seguintes permissões adicionais:

s3:GetObjectAcl
s3:GetObject
s3:GetObjectTagging
s3:ListBucket
mediaimport:CreateDatabaseBinarySnapshot

O exemplo de política JSON a seguir concede permissões adicionais necessárias para acessar o bucket my-custom-installation-files e seu conteúdo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessToS3MediaBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectAcl",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-custom-installation-files",
                "arn:aws:s3:::my-custom-installation-files/*"
            ]
        },
        {
            "Sid": "PermissionForByom",
            "Effect": "Allow",
            "Action": [
                "mediaimport:CreateDatabaseBinarySnapshot"
            ],
            "Resource": "*"
        }
    ]
}

Você pode conceder permissões semelhantes para o Amazon S3 às contas dos autores das chamadas usando uma política de bucket do S3.

Permissões necessárias do IAM para criar uma instância de banco de dados com base em uma CEV

Para criar uma instância de banco de dados do RDS Custom para Oracle de uma CEV existente, a entidade principal do IAM precisa das seguintes permissões adicionais:

iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging

O exemplo de política JSON a seguir concede as permissões necessárias para validar um perfil do IAM e registrar informações em um AWS CloudTrail.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        }
    ]
}

Etapa 6: Configurar a VPC para RDS Custom para Oracle

Sua instância de banco de dados do RDS Custom está em uma nuvem privada virtual (VPC) com base no serviço da Amazon VPC, assim como uma instância do Amazon EC2 ou do Amazon RDS. Você fornece e configura sua própria VPC. Ao contrário do RDS Custom para SQL Server, o RDS Custom para Oracle não cria uma lista de controle de acesso nem grupos de segurança. Você deve anexar seu próprio grupo de segurança, sub-redes e tabelas de rotas.

É possível configurar a nuvem privada virtual (VPC) utilizando o CloudFormation ou um processo manual.

Importante

É altamente recomendável configurar seu ambiente do RDS Custom para Oracle usando AWS CloudFormation. Essa técnica é a mais fácil e menos propensa a erros.

Configurar a VPC utilizando o CloudFormation (recomendado)

Se já tiver configurado sua VPC para outro mecanismo do RDS Custom e quiser reutilizar a VPC existente, ignore esta etapa. Esta seção supõe o seguinte:

  • Você já usou o CloudFormation para criar seu perfil e sua função de instância do IAM.

  • Você sabe o ID da sua tabela de rotas.

    Para que uma instância de banco de dados seja privada, ela deve estar em uma sub-rede privada. Para que uma sub-rede seja privada, ela não deve estar associada a uma tabela de rotas que tenha um gateway de Internet padrão. Para ter mais informações, consulte Configurar tabelas de rotas, no Guia do usuário da Amazon VPC.

Quando você usa o modelo do CloudFormation para a VPC, ele cria os seguintes recursos necessários:

  • Uma VPC privada

  • Um grupo de sub-redes denominado rds-custom-private.

  • Os seguintes endpoints da VPC, que a instância de banco de dados usa para se comunicar com Serviços da AWS dependentes:

    • com.amazonaws.region.ec2messages

    • com.amazonaws.region.events

    • com.amazonaws.region.logs

    • com.amazonaws.region.monitoring

    • com.amazonaws.region.s3

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.ssm

    • com.amazonaws.region.ssmmessages

    nota

    Para uma configuração de rede complexa com contas existentes, recomendamos configurar o acesso aos serviços dependentes manualmente, caso o acesso ainda não exista. Para ter mais informações, consulte Garanta que a VPC possa acessar os Serviços da AWS dependentes..

Para configurar sua VPC utilizando o CloudFormation

  1. Abra o console do CloudFormation em https://console.aws.amazon.com/cloudformation.

  2. Inicie o assistente de criação de pilhas e selecione Criar pilha e, depois, Com novos recursos (padrão).

  3. Na página Create a stack (Criar uma pilha), faça o seguinte:

    1. Em Prepare template (Preparar modelo), selecione Template is ready (O modelo está pronto).

    2. Para Template source (Origem do template), escolha Upload a template file (Fazer upload de um arquivo de template).

    3. Para Choose file (Escolher arquivo), navegue até custom-vpc.json e escolha essa opção.

    4. Escolha Próximo.

  4. Na página Specify stack details (Especificar detalhes da pilha), faça o seguinte:

    1. Para Stack name (Nome da pilha), insira custom-vpc.

    2. Para Parameters (Parâmetros), escolha as sub-redes privadas a serem utilizadas para instâncias de banco de dados do RDS Custom.

    3. Escolha o ID da VPC privada a ser utilizada para instâncias de banco de dados do RDS Custom.

    4. Insira a tabela de rotas principal associada às sub-redes privadas.

    5. Escolha Próximo.

  5. Na página Configurar opções de pilha, selecione Avançar.

  6. Na página Revisar, selecione Enviar.

    O CloudFormation configura sua VPC privada. No painel esquerdo, quando custom-vpc mostrar CREATE_COMPLETE, vá para a próxima etapa.

  7. (Opcional) Revise os detalhes de sua VPC. No painel Pilhas, selecione custom-vpc. No painel à direita, faça o seguinte:

    1. Selecione Informações da pilha. Sua pilha tem um ID no formato arn:aws:cloudformation:region:account-no:stack/custom-vpc/identifier.

    2. Escolha atributos. Você deve ver um grupo de sub-redes chamado rds-custom-private e vários endpoints da VPC que usam o formato de nomenclatura vpce-string. Cada endpoint corresponde a um AWS service (Serviço da AWS) com o qual o RDS Custom precisa se comunicar. Para ter mais informações, consulte Garanta que a VPC possa acessar os Serviços da AWS dependentes..

    3. Selecione Parâmetros. Você deve ver as sub-redes privadas, a VPC privada e a tabela de rotas que você especificou ao criar a pilha. Ao criar uma instância de banco de dados, você precisa fornecer o ID da VPC o grupo de sub-redes.

Configurar a VPC manualmente para RDS Custom para Oracle

Como alternativa à automatização da criação da VPC com o AWS CloudFormation, é possível configurar a VPC manualmente. Essa opção pode ser melhor quando você tem uma configuração de rede complexa que usa recursos existentes.

Garanta que a VPC possa acessar os Serviços da AWS dependentes.

O RDS Custom envia comunicações de sua instância de banco de dados para outros Serviços da AWS. Garanta que os seguintes serviços estejam acessíveis por meio da sub-rede na qual você cria instâncias de banco de dados do RDS Custom:

  • Amazon CloudWatch

  • Amazon CloudWatch Logs

  • Amazon CloudWatch Events

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Se você criar implantações multi-AZ

  • Amazon Simple Queue Service

Se o RDS Custom não conseguir se comunicar com os serviços necessários, ele publicará os seguintes eventos:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Para evitar erros incompatible-network, os componentes da VPC envolvidos na comunicação entre sua instância de banco de dados do RDS Custom e os Serviços da AWS devem cumprir os seguintes requisitos:

  • A instância de banco de dados pode fazer conexões de saída na porta 443 para outros Serviços da AWS.

  • A VPC permite respostas recebidas a solicitações originadas de sua instância de banco de dados do RDS Custom.

  • O RDS Custom pode resolver corretamente os nomes de domínio dos endpoints para cada AWS service (Serviço da AWS).

Se você já configurou uma VPC para outro mecanismo de banco de dados do RDS Custom, poderá reutilizar essa VPC e ignorar esse processo.

Configurar o serviço de metadados da instância

Verifique se a sua instância pode fazer o seguinte:

  • Acesse o serviço de metadados de instância utilizando o Instance Metadata Service versão 2 (IMDSv2).

  • Permita comunicações de saída por meio da porta 80 (HTTP) com o endereço IP do link IMDS.

  • Solicite metadados da instância de http://169.254.169.254, o link IMDSv2.

Para ter mais informações, consulte Usar o IMDSv2, no Guia do usuário do Amazon EC2 para instâncias Linux.

A automação do RDS Custom for Oracle utiliza o IMDSv2 por padrão, definindo HttpTokens=enabled na instância do Amazon EC2 subjacente. No entanto, se quiser, você pode utilizar o IMDSv1. Para ter mais informações, consulte Configurar as opções de metadados da instância no Guia do usuário do Amazon EC2 para instâncias Linux.