Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Modifica di un RDS Proxy
Puoi modificare specifiche impostazioni associate a un proxy dopo aver creato il proxy. Esegui questa operazione modificando il proxy stesso, il suo gruppo di destinazione associato o entrambi. Ogni proxy ha un gruppo di destinazione associato.
Importante
I valori nei campi Client authentication type (Tipo di autenticazione client) e IAM authentication (autenticazione IAM) si applicano a tutti i segreti di Secrets Manager associati al proxy. Per specificare valori diversi per ogni segreto, modifica il proxy utilizzando invece l'API AWS CLI o.
Per modificare le impostazioni di un proxy
-
Accedi a AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/
. -
Nel riquadro di navigazione scegli Proxies (Proxy).
-
Nell'elenco dei proxy, scegli il proxy di cui desideri modificare le impostazioni o passa alla relativa pagina dei dettagli.
-
Per Actions (Operazioni), scegliere Modify (Modifica).
-
Inserisci o scegli le proprietà da modificare. È possibile modificare le seguenti:
-
Identificatore Proxy: rinominare il proxy immettendo un nuovo identificatore.
-
Timeout della connessione client per inattività: immettere un periodo di tempo per il timeout della connessione client inattiva.
-
Ruolo IAM: modificare il ruolo IAM utilizzato per recuperare i segreti da Secrets Manager.
Nota
Non puoi creare un nuovo ruolo IAM se imposti lo schema di autenticazione predefinito sull'autenticazione IAM.
-
Segreti di Secrets Manager: aggiungere o rimuovere segreti di Secrets Manager. Questi segreti corrispondono a nomi utente e password del database.
-
Tipo di autenticazione client: modifica il tipo di autenticazione per le connessioni dei client al proxy.
-
Autenticazione IAM: richiedi o disabilita l'autenticazione IAM per le connessioni al proxy.
-
Schema di autenticazione predefinito: modifica lo schema di autenticazione predefinito utilizzato dal proxy per le connessioni dei client al proxy e le connessioni dal proxy al database sottostante.
-
Richiedi Transport Layer Security: attivare o disattivare il requisito per Transport Layer Security (TLS).
-
Gruppo di sicurezza VPC: aggiungere o rimuovere gruppi di sicurezza VPC da utilizzare per il proxy.
-
Abilitazione della registrazione avanzata: abilitare o disabilitare la registrazione avanzata.
-
-
Scegliere Modify (Modifica).
Se non sono state trovate le impostazioni elencate che si desidera modificare, attenersi alla procedura seguente per aggiornare il gruppo di destinazione per il proxy. Il gruppo di destinazione associato a un proxy controlla le impostazioni relative alle connessioni del database fisico. Ogni proxy ha un gruppo di destinazione associato denominato default, che viene creato automaticamente insieme al proxy. Non è possibile rinominare il gruppo di destinazione predefinito.
Puoi modificare il gruppo di destinazione solo dalla pagina dei dettagli del proxy, non dall'elenco nella pagina Proxy .
Per modificare le impostazioni di un gruppo di destinazione proxy
-
Dalla pagina Proxy, passa alla pagina dei dettagli di un proxy.
-
Per Gruppi di destinazione, scegli il collegamento di
default. Attualmente, tutti i proxy hanno un singolo gruppo di destinazione denominatodefault. -
Nella pagina dei dettagli del gruppo di destinazione di default, scegli Modify (Modifica).
-
Scegli nuove impostazioni per le proprietà che è possibile modificare:
-
Database: puoi scegliere un diverso cluster Aurora.
-
Connessioni massime del pool di connessioni: puoi modificare la percentuale delle connessioni massime disponibili che il proxy può utilizzare.
-
Filtri di pinning della sessione: (opzionale) scegliere un filtro di pinning della sessione. Ciò elude le misure di sicurezza predefinite per il multiplexing delle connessioni al database tra connessioni client. Attualmente, l’impostazione non è supportata per PostgreSQL. L’unica scelta è
EXCLUDE_VARIABLE_SETS.L’abilitazione di questa impostazione può far sì che le variabili di sessione di una connessione interessino le altre connessioni. Ciò può causare errori o problemi di correttezza se le query dipendono dai valori delle variabili di sessione impostati al di fuori della transazione corrente. Valuta l'utilizzo di questa opzione dopo aver verificato che sia sicuro per le applicazioni condividere le connessioni al database tra connessioni client.
I seguenti modelli possono essere considerati sicuri:
-
Istruzioni
SETin cui non viene apportata alcuna modifica al valore della variabile di sessione effettiva, ovvero non viene apportata alcuna modifica alla variabile di sessione. -
Modifichi il valore della variabile di sessione ed esegui un'istruzione nella stessa transazione.
Per ulteriori informazioni, consulta Evitare di effettuare il pinning di un Server proxy per RDS.
-
-
Timeout del prestito di connessione: puoi regolare l'intervallo di timeout del prestito di connessione. Questa impostazione si applica quando il numero massimo di connessioni è già in uso per il proxy. In questi casi, è possibile specificare per quanto tempo il proxy attende che una connessione diventi disponibile prima di restituire un errore di timeout.
-
Query di inizializzazione. (Opzionale) Aggiungi una query di inizializzazione o modifica quella corrente. Puoi specificare una o più istruzioni SQL per l'esecuzione del proxy all'apertura di ogni nuova connessione al database. L’impostazione è in genere utilizzata con le istruzioni
SETper assicurarsi che ogni connessione abbia impostazioni identiche. Assicurati che la query che aggiungi sia valida. Per includere più variabili in una singola istruzioneSET, utilizza la virgola come separatore. Ad esempio:SETvariable1=value1,variable2=value2Per più istruzioni, utilizzare il punto e virgola come separatore.
Alcune proprietà, ad esempio l'identificatore del gruppo di destinazione e il motore del database, sono fisse.
-
-
Scegli Modify target group (Modifica gruppo di destinazione).
Per modificare un proxy utilizzando il AWS CLI, usa i comandi modify-db-proxymodify-db-proxy-target-group deregister-db-proxy-targetse register-db-proxy-targets.
Con il comando modify-db-proxy, è possibile modificare proprietà come le seguenti:
-
L'insieme di segreti Secrets Manager usati dal proxy.
-
Indica se TLS è necessario.
-
Il timeout del client inattivo.
-
Indica se registrare ulteriori informazioni dalle istruzioni SQL per il debug.
-
Il ruolo IAM utilizzato per recuperare i segreti Secrets Manager.
-
I gruppi di sicurezza utilizzati dal proxy.
-
Lo schema di autenticazione predefinito associato al proxy.
Nell'esempio seguente viene illustrato come rinominare un proxy esistente.
aws rds modify-db-proxy --db-proxy-namethe-proxy--new-db-proxy-namethe_new_name
Con il comando modify-db-proxy-target-group, puoi modificare le impostazioni relative alla connessione o rinominare il gruppo di destinazione. Attualmente, tutti i proxy hanno un singolo gruppo di destinazione denominato default. Quando utilizzi questo gruppo di destinazione, devi specificare il nome del proxy e default come nome del gruppo di destinazione. Non è possibile rinominare il gruppo di destinazione predefinito.
Nell'esempio seguente viene illustrato come controllare prima l'impostazione MaxIdleConnectionsPercent per un proxy e quindi modificarla utilizzando il gruppo di destinazione.
aws rds describe-db-proxy-target-groups --db-proxy-namethe-proxy{ "TargetGroups": [ { "Status": "available", "UpdatedDate": "2019-11-30T16:49:30.342Z", "ConnectionPoolConfig": { "MaxIdleConnectionsPercent": 50, "ConnectionBorrowTimeout": 120, "MaxConnectionsPercent": 100, "SessionPinningFilters": [] }, "TargetGroupName": "default", "CreatedDate": "2019-11-30T16:49:27.940Z", "DBProxyName": "the-proxy", "IsDefault": true } ] } aws rds modify-db-proxy-target-group --db-proxy-namethe-proxy--target-group-name default --connection-pool-config ' { "MaxIdleConnectionsPercent": 75 }' { "DBProxyTargetGroup": { "Status": "available", "UpdatedDate": "2019-12-02T04:09:50.420Z", "ConnectionPoolConfig": { "MaxIdleConnectionsPercent": 75, "ConnectionBorrowTimeout": 120, "MaxConnectionsPercent": 100, "SessionPinningFilters": [] }, "TargetGroupName": "default", "CreatedDate": "2019-11-30T16:49:27.940Z", "DBProxyName": "the-proxy", "IsDefault": true } }
Con i comandi deregister-db-proxy-targets e register-db-proxy-targets, puoi modificare i cluster di database Aurora a cui il proxy è associato tramite il relativo gruppo di destinazione. Attualmente, ogni proxy può connettersi a un cluster di database Aurora. Il gruppo di destinazione tiene traccia dei dettagli di connessione per tutte le istanze database in un cluster Aurora.
L'esempio seguente inizia con un proxy associato a un cluster Aurora MySQL denominato cluster-56-2020-02-25-1399. Nell'esempio viene illustrato come modificare il proxy in modo che possa connettersi a un cluster diverso denominato provisioned-cluster.
Quando utilizzi un cluster di database Aurora, specifichi l'opzione --db-cluster-identifier.
L'esempio seguente modifica un proxy Aurora MySQL. Un proxy Aurora PostgreSQL ha la porta 5432.
aws rds describe-db-proxy-targets --db-proxy-namethe-proxy{ "Targets": [ { "Endpoint": "instance-9814.demo.us-east-1.rds.amazonaws.com", "Type": "RDS_INSTANCE", "Port": 3306, "RdsResourceId": "instance-9814" }, { "Endpoint": "instance-8898.demo.us-east-1.rds.amazonaws.com", "Type": "RDS_INSTANCE", "Port": 3306, "RdsResourceId": "instance-8898" }, { "Endpoint": "instance-1018.demo.us-east-1.rds.amazonaws.com", "Type": "RDS_INSTANCE", "Port": 3306, "RdsResourceId": "instance-1018" }, { "Type": "TRACKED_CLUSTER", "Port": 0, "RdsResourceId": "cluster-56-2020-02-25-1399" }, { "Endpoint": "instance-4330.demo.us-east-1.rds.amazonaws.com", "Type": "RDS_INSTANCE", "Port": 3306, "RdsResourceId": "instance-4330" } ] } aws rds deregister-db-proxy-targets --db-proxy-namethe-proxy--db-cluster-identifier cluster-56-2020-02-25-1399 aws rds describe-db-proxy-targets --db-proxy-namethe-proxy{ "Targets": [] } aws rds register-db-proxy-targets --db-proxy-namethe-proxy--db-cluster-identifier provisioned-cluster { "DBProxyTargets": [ { "Type": "TRACKED_CLUSTER", "Port": 0, "RdsResourceId": "provisioned-cluster" }, { "Endpoint": "gkldje.demo.us-east-1.rds.amazonaws.com", "Type": "RDS_INSTANCE", "Port": 3306, "RdsResourceId": "gkldje" }, { "Endpoint": "provisioned-1.demo.us-east-1.rds.amazonaws.com", "Type": "RDS_INSTANCE", "Port": 3306, "RdsResourceId": "provisioned-1" } ] }
Per modificare un proxy utilizzando l'API RDS, si utilizzano le operazioni Modify, Modify DBProxy DBProxyTargetGroup, Deregister DBProxy Targets e DBProxyRegister Targets.
Con ModifyDBProxy, è possibile modificare proprietà come le seguenti:
-
L'insieme di segreti Secrets Manager usati dal proxy.
-
Indica se TLS è necessario.
-
Il timeout del client inattivo.
-
Indica se registrare ulteriori informazioni dalle istruzioni SQL per il debug.
-
Il ruolo IAM utilizzato per recuperare i segreti Secrets Manager.
-
I gruppi di sicurezza utilizzati dal proxy.
Con ModifyDBProxyTargetGroup, puoi modificare le impostazioni relative alla connessione. Attualmente, tutti i proxy hanno un singolo gruppo di destinazione denominato default. Quando utilizzi questo gruppo di destinazione, devi specificare il nome del proxy e default come nome del gruppo di destinazione. Non è possibile rinominare il gruppo di destinazione predefinito.
Con DeregisterDBProxyTargets e RegisterDBProxyTargets, puoi modificare il cluster Aurora a cui il proxy è associato tramite il relativo gruppo di destinazione. Attualmente, ogni proxy può connettersi a un cluster Aurora. Il gruppo di destinazione tiene traccia dei dettagli di connessione per le istanze database in un cluster Aurora.
