Configurazione dell'ambiente per Amazon Aurora
Prima di usare Amazon Aurora per la prima volta, è necessario completare le seguenti operazioni:
Argomenti
Se hai già un Account AWS, conosci i requisiti di Aurora e preferisci utilizzare le impostazioni predefinite per i gruppi di sicurezza VPC e IAM, passa a Nozioni di base su Amazon Aurora.
Registrati per creare un Account AWS
Se non disponi di un Account AWS, completa le fasi seguenti per crearne uno.
Per registrarsi a un Account AWS
Apri la pagina all'indirizzo https://portal.aws.amazon.com/billing/signup
. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Durante la registrazione di un Account AWS, viene creato un Utente root dell'account AWS. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWS nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.
Al termine del processo di registrazione, riceverai un'e-mail di conferma da AWS. È possibile visualizzare l'attività corrente dell'account e gestire l'account in qualsiasi momento accedendo all'indirizzo https://aws.amazon.com/
Crea un utente con accesso amministrativo
Dopo aver effettuato la registrazione di un Account AWS, proteggi Utente root dell'account AWS, abilita AWS IAM Identity Center e crea un utente amministratore in modo da non utilizzare l'utente root per le attività quotidiane.
Protezione dell'Utente root dell'account AWS
-
Accedi alla AWS Management Console
come proprietario dell'account scegliendo Utente root e immettendo l'indirizzo email dell'Account AWS. Nella pagina successiva, inserisci la password. Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS.
-
Abilita l'autenticazione a più fattori (MFA) per l'utente root.
Per ricevere istruzioni, consulta Abilitare un dispositivo MFA virtuale per l'utente root della Account AWS (console) nella Guida per l'utente IAM.
Crea un utente con accesso amministrativo
-
Abilita Centro identità IAM.
Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center.
-
In IAM Identity Center, assegna l'accesso amministrativo a un utente.
Per un tutorial sull'utilizzo di IAM Identity Center directory come origine di identità, consulta Configurazione dell'accesso utente con IAM Identity Center directory predefinito nella Guida per l'utente di AWS IAM Identity Center.
Accesso come utente amministratore
-
Per accedere con l'utente IAM Identity Center, utilizza l'URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.
Per ricevere assistenza nell'accesso mediante un utente IAM Identity Center, consulta Accedere al portale di accesso AWSnella Guida per l'utente Accedi ad AWS.
Assegna l'accesso a ulteriori utenti
-
In IAM Identity Center, crea un set di autorizzazioni conforme alla best practice dell'applicazione di autorizzazioni con il privilegio minimo.
Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center.
-
Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).
Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center.
Concessione dell'accesso programmatico
Gli utenti hanno bisogno di un accesso programmatico se desiderano interagire con AWS esternamente a AWS Management Console. La modalità con cui concedere l'accesso programmatico dipende dal tipo di utente che accede ad AWS.
Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.
| Quale utente necessita dell'accesso programmatico? | Per | Come |
|---|---|---|
|
Identità della forza lavoro (Utenti gestiti nel centro identità IAM) |
Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS. |
Segui le istruzioni per l'interfaccia che desideri utilizzare.
|
| IAM | Utilizza credenziali temporanee per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS. | Segui le istruzioni in Utilizzo di credenziali temporanee con le risorse AWS nella Guida per l'utente IAM. |
| IAM | (Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche alla AWS CLI, agli SDK AWS o alle API AWS. |
Segui le istruzioni per l'interfaccia che desideri utilizzare.
|
Determinazione dei requisiti
Il cluster di database rappresenta l'elemento di base di Aurora. Una o più istanze database possono appartenere a un cluster di database. Un cluster di database fornisce un indirizzo di rete denominato endpoint del cluster. Le applicazioni si connettono all'endpoint del cluster esposto dal cluster di database quando devono accedere ai database creati in quel cluster di database. Le informazioni specificate al momento della creazione del cluster di database controllano elementi di configurazione come memoria, motore di database e versione, configurazione di rete, sicurezza e periodi di manutenzione.
Prima di creare un cluster DB e un gruppo di sicurezza, devi conoscere le necessità del cluster DB e della rete. Ecco alcune cose importanti da considerare:
Requisiti delle risorse – Quali sono i requisiti di memoria e del processore per l'applicazione o il servizio? Utilizzerai queste impostazioni nella definizione della classe di istanza database da usare durante la creazione del cluster di database. Per specifiche sulle classi di istanza database, consulta Classi di istanze database Amazon Aurora.
VPC, sottorete e gruppo di sicurezza– Il cluster DB si trova in un Virtual Private Cloud (VPC). È necessario configurare le regole del gruppo di sicurezza per la connessione a un cluster di database. L'elenco seguente descrive le regole per ogni opzione VPC:
-
VPC predefinito: se l'account AWS ha un VPC predefinito nella regione AWS, tale VPC è configurato per supportare i cluster database. Se specifichi il VPC predefinito quando crei il cluster di database:
-
Assicurati di creare un gruppo di sicurezza VPC che autorizza le connessioni dall'applicazione o dal servizio al cluster DB Aurora. Utilizza l'opzione Gruppo di sicurezza nella console VPC o nella AWS CLI per creare i gruppi di sicurezza VPC. Per informazioni, consulta Fase 3: creazione di un gruppo di sicurezza VPC.
-
Devi specificare il gruppo di sottoreti del database predefinito. Se questo è il primo cluster di database creato nella regione AWS, Amazon RDS creerà il gruppo di sottoreti del database predefinito quando crea il cluster di database.
-
-
VPC definito dall'utente: se vuoi specificare un VPC definito dall'utente quando crei un cluster di database:
-
Assicurati di creare un gruppo di sicurezza VPC che autorizza le connessioni dall'applicazione o dal servizio al cluster DB Aurora. Utilizza l'opzione Gruppo di sicurezza nella console VPC o nella AWS CLI per creare i gruppi di sicurezza VPC. Per informazioni, consulta Fase 3: creazione di un gruppo di sicurezza VPC.
-
Il VPC deve soddisfare certi requisiti per ospitare cluster di database, come avere almeno due sottoreti, ognuna in una zona di disponibilità separata. Per informazioni, consulta VPC Amazon e Amazon Aurora.
-
Devi specificare un gruppo di sottoreti del database che definisce quali sottoreti in quel VPC possono essere utilizzate dal cluster di database. Per informazioni, consulta la sezione relativa al gruppo di sottoreti del database in Uso di un cluster database in un VPC.
-
-
-
Elevata disponibilità: hai bisogno di supporto per il failover? In Aurora, un'implementazione Multi-AZ crea un'istanza primaria e repliche di Aurora. Puoi configurare l'istanza primaria e le repliche Aurora in modo che si trovino in zone di disponibilità diverse per il supporto per failover. Consigliamo implementazioni Multi-AZ per carichi di lavoro di produzione per mantenere alta disponibilità. Per scopi di sviluppo e di test, puoi utilizzare un'implementazione non Multi-AZ. Per ulteriori informazioni, consulta Elevata disponibilità di Amazon Aurora.
-
Policy IAM: l'account AWS ha le policy che concedono le autorizzazioni necessarie per eseguire le operazioni Amazon RDS? Se esegui la connessione ad AWS utilizzando le credenziali IAM, l'account IAM deve avere policy IAM che concedono le autorizzazioni necessarie per eseguire le operazioni Amazon RDS. Per ulteriori informazioni, consulta Gestione accessi e identità per Amazon Aurora.
-
Porte aperte: su quale porta TCP/IP il database sarà in ascolto? Il firewall in alcune aziende può bloccare le connessioni alla porta predefinita del motore di database. Se il firewall dell'azienda blocca la porta predefinita, scegliere un'altra porta per il nuovo cluster database. Tieni presente che dopo avere creato un cluster di database in ascolto su una determinata porta, puoi cambiare la porta modificando il cluster di database.
Regione AWS: in quale regione AWS desideri il database? Se il database si trova in prossimità dell'applicazione o del servizio Web, la latenza di rete potrebbe ridursi. Per ulteriori informazioni, consulta Regioni e zone di disponibilità.
Quando disponi delle informazioni necessarie per creare il gruppo di sicurezza e il cluster di database, procedi alla fase successiva.
Fornitura dell'accesso al cluster di database nel VPC creando un gruppo di sicurezza
Il cluster DB verrà creato in un VPC. I gruppi di sicurezza forniscono l'accesso al cluster di database nel VPC. Fungono da firewall per il cluster di database associato, controllando il traffico sia in entrata che in uscita a livello di cluster. Per impostazione predefinita, i cluster di database vengono creati con un firewall e un gruppo di sicurezza predefinito che impedisce l'accesso al cluster di database. Pertanto, a un gruppo di sicurezza è necessario aggiungere regole che consentano di connettersi al cluster di database. Utilizza le informazione di rete e di configurazione specificate nella fase precedente per creare regole che consentano l'accesso al cluster di database.
Ad esempio, se hai un'applicazione che accederà a un database nel tuo cluster di database in un VPC, devi aggiungere una regola TCP personalizzata che specifichi l'intervallo di porte e gli indirizzi IP che l'applicazione userà per accedere al database. Se è disponibile un'applicazione in un'istanza Amazon EC2, puoi utilizzare il gruppo di sicurezza VPC configurato per l'istanza Amazon EC2.
Puoi configurare la connettività tra un'istanza Amazon EC2 e un cluster database durante la creazione del cluster database. Per ulteriori informazioni, consulta Configurazione della connettività di rete automatica con un'istanza EC2.
Suggerimento
Durante la creazione di un cluster database, puoi configurare automaticamente la connettività di rete tra un'istanza Amazon EC2 e un cluster database. Per ulteriori informazioni, consulta Configurazione della connettività di rete automatica con un'istanza EC2.
Per informazioni su come connettere le risorse in Amazon Lightsail ai cluster di database, consulta Connect Lightsail resources to Servizi AWS using VPC peering.
Per ulteriori informazioni sulla creazione di un VPC da utilizzare con Aurora, consulta Tutorial: Creazione di un Amazon VPC da utilizzare con un cluster database (solo IPv4). Per informazioni sugli scenari comuni per l'accesso a un'istanza database, consult Scenari per accedere a un cluster database in un VPC.
Per creare un gruppo di sicurezza VPC
-
Accedere ad AWS Management Console e aprire la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc
. Nota
Assicurati di essere nella console VPC, non nella console RDS.
Nell'angolo in alto a destra della AWS Management Console, seleziona la regione AWS in cui si desidera creare il gruppo di sicurezza VPC e il cluster DB. Nell'elenco delle risorse Amazon VPC per quella regione AWS, dovresti vedere almeno un VPC e diverse sottoreti. Se non è indicato, non disponi di un VPC predefinito in quella regione AWS.
Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
-
Scegliere Create Security Group (Crea gruppo di sicurezza).
Viene visualizzata la pagina Create security group (Crea gruppo di sicurezza).
In Basic details (Dettagli di base), immettere il Security group name (Nome del gruppo di sicurezza) e la Description (Descrizione). Per VPC, seleziona il VPC nel quale desideri creare il cluster DB.
Per Inbound rules (Regole in entrata), scegli Add rule (Aggiungi regola).
Per Type (Tipo), scegliere Custom TCP (TCP personalizzato).
Per Port Range (Intervallo porte), digita il valore della porta da utilizzare per il cluster DB.
-
Per Source (Origine), seleziona il nome del gruppo di sicurezza o digita l'intervallo di indirizzi IP (valore CIDR) da dove accedi al cluster DB. Se scegli My IP (Il mio IP), questo consente l'accesso al cluster DB dall'indirizzo IP rilevato nel browser.
Se occorre aggiungere altri indirizzi IP o intervalli di porta diversi, scegliere Add rule (Aggiungi regola) e immettere le informazioni relative alla regola.
(Facoltativo) In Outbound Rules (Regole in uscita), aggiungi regole per il traffico in uscita. Come impostazione predefinita, tutto il traffico in uscita è permesso.
-
Scegliere Create Security Group (Crea gruppo di sicurezza).
Si può utilizzare il gruppo di sicurezza VPC appena creato come gruppo di sicurezza per il cluster di database al momento della creazione.
Nota
Se utilizzi un VPC predefinito, viene creato un gruppo di sottoreti predefinito che include tutte le sottoreti VPC. Quando si crea un cluster di database, è possibile selezionare il VPC predefinito e utilizzare default (predefinito) per DB Subnet Group (Gruppo di sottoreti del database).
Quando hai completato i requisiti di configurazione, puoi creare un cluster DB utilizzando i requisiti e il gruppo di sicurezza seguendo le istruzioni in Creazione di un cluster database Amazon Aurora. Per informazioni su come iniziare con la creazione di un cluster DB che utilizza un motore DB specifico, consulta Nozioni di base su Amazon Aurora.
