Configurazione dell'ambiente per Amazon RDS Custom per SQL Server - Amazon Relational Database Service
Prerequisiti per la configurazione di RDS Custom for SQL ServerFase 1: concedere le autorizzazioni richieste al principale IAMFase 2: configurare la rete, il profilo dell’istanza e la crittografiaRestrizioni tra istanze

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'ambiente per Amazon RDS Custom per SQL Server

Prima di creare e gestire un'istanza database per l'istanza database di Amazon RDS Custom per SQL Server, assicurarsi di eseguire le seguenti attività.

Nota

Per un step-by-step tutorial su come configurare i prerequisiti e avviare Amazon RDS Custom for SQL Server, consulta Introduzione ad Amazon RDS Custom for SQL Server utilizzando un CloudFormation modello (configurazione di rete) ed Esplora i prerequisiti necessari per creare un'istanza Amazon RDS Custom for SQL Server.

Prerequisiti per la configurazione di RDS Custom for SQL Server

Prima di creare un'istanza database di RDS Custom per SQL Server, assicurati che l'ambiente soddisfi i requisiti descritti in questo argomento. Puoi anche utilizzare il CloudFormation modello per configurare i prerequisiti all'interno del tuo. Account AWS Per ulteriori informazioni, consulta Configurazione con CloudFormation

RDS Custom per SQL Server richiede la configurazione dei seguenti prerequisiti:

  • Configura le autorizzazioni AWS Identity and Access Management (IAM) richieste per la creazione dell'istanza. Questo è l’utente o il ruolo AWS Identity and Access Management (IAM) necessario per effettuare una richiesta create-db-instance a RDS.

  • Configura le risorse dei prerequisiti richieste dall’istanza database RDS Custom per SQL Server:

    • Configura la AWS KMS chiave richiesta per la crittografia dell'istanza RDS Custom. RDS Custom richiede una chiave gestita dal cliente al momento della creazione dell’istanza per la crittografia. L’ARN della chiave, l’ID, l’ARN dell’alias o il nome dell’alias KMS viene passato come parametro kms-key-id nella richiesta di creazione dell’istanza database RDS Custom.

    • Configura le autorizzazioni richieste all’interno dell’istanza database RDS Custom per SQL Server. RDS Custom collega un profilo dell’istanza all’istanza database al momento della creazione e lo utilizza per l’automazione all’interno dell’istanza database. Il nome del profilo dell’istanza è impostato su custom-iam-instance-profile nella richiesta di creazione di RDS Custom. È possibile creare un profilo di istanza da Console di gestione AWS o creare manualmente il profilo dell'istanza. Per ulteriori informazioni, consultare Creazione automatizzata del profilo di istanza utilizzando Console di gestione AWS e Creazione manuale del ruolo IAM e del profilo dell'istanza.

    • Imposta la configurazione di rete in base ai requisiti di RDS Custom per SQL Server. Le istanze RDS Custom risiedono nelle sottoreti (configurate con il gruppo di sottoreti del database) specificate al momento della creazione delle istanze. Queste sottoreti devono consentire alle istanze RDS Custom di comunicare con i servizi necessari per l’automazione RDS.

Nota

Per i requisiti sopra menzionati, assicurati che non esistano politiche di controllo del servizio (SCPs) che limitino le autorizzazioni a livello di account.

Se l'account che stai utilizzando fa parte di un' AWS organizzazione, potrebbe avere politiche di controllo del servizio (SCPs) che limitano le autorizzazioni a livello di account. Assicurati di SCPs non limitare le autorizzazioni sugli utenti e sui ruoli che crei utilizzando le seguenti procedure.

Per ulteriori informazioni in merito SCPs, consulta Service control policies (SCPs) nella Guida per l'AWS Organizations utente. Usa il AWS CLI comando describe-organization per verificare se il tuo account fa parte di un'organizzazione. AWS

Per ulteriori informazioni su AWS Organizations, consulta What is AWS Organizations nella AWS Organizations User Guide.

Per i requisiti generali applicabili a RDS Custom per SQL Server, vedere Requisiti generali per RDS Custom per SQL Server.

Creazione automatizzata del profilo di istanza utilizzando Console di gestione AWS

RDS Custom richiede la creazione e la configurazione di un profilo dell’istanza per avviare qualsiasi istanza database RDS Custom per SQL Server. Utilizzate il Console di gestione AWS per creare e allegare un nuovo profilo di istanza in un unico passaggio. Questa opzione è disponibile nella sezione relativa alla sicurezza RDS Custom nelle pagine della console Crea database, Ripristina snapshot e Ripristina al point-in-time. Scegli Crea un nuovo profilo dell’istanza per specificare un suffisso per il nome del profilo dell’istanza. Console di gestione AWS crea un nuovo profilo di istanza con le autorizzazioni necessarie per le attività di automazione RDS Custom. Per creare automaticamente nuovi profili di istanza, l' Console di gestione AWS utente che ha effettuato l'accesso deve disporre diiam:CreateInstanceProfile,iam:AddRoleToInstanceProfile, iam:CreateRole e autorizzazioni. iam:AttachRolePolicy

Nota

Questa opzione è disponibile solo nella Console di gestione AWS. Se utilizzi la CLI o l'SDK, utilizza il CloudFormation modello RDS personalizzato o crea manualmente un profilo di istanza. Per ulteriori informazioni, consulta Creazione manuale del ruolo IAM e del profilo dell'istanza.

Fase 1: concedere le autorizzazioni richieste al principale IAM

Assicurati di disporre di un accesso sufficiente per creare un’istanza database RDS Custom. Il ruolo IAM o utente IAM (indicato come principale IAM) per la creazione di un’istanza database RDS Custom per SQL Server tramite la console o la CLI deve disporre di una delle seguenti policy per creare istanze database:

  • La policy AdministratorAccess

  • La policy AmazonRDSFullAccess con le seguenti autorizzazioni aggiuntive:

    iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging
s3:CreateBucket
s3:PutBucketPolicy
s3:PutBucketObjectLockConfiguration
s3:PutBucketVersioning 
kms:CreateGrant
kms:DescribeKey
kms:Decrypt
kms:ReEncryptFrom
kms:ReEncryptTo
kms:GenerateDataKeyWithoutPlaintext
kms:GenerateDataKey
ec2:DescribeImages
ec2:RunInstances
ec2:CreateTags

    RDS Custom utilizza queste autorizzazioni durante la creazione dell’istanza. Queste autorizzazioni configurano le risorse nell’account che sono necessarie per le operazioni di RDS Custom.

    Per ulteriori informazioni sull'autorizzazione kms:CreateGrant, consulta Gestione di AWS KMS key.

La policy JSON di esempio seguente fornisce le autorizzazioni necessarie.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Il principale IAM richiede le seguenti autorizzazioni aggiuntive per funzionare con le versioni personalizzate del motore (): CEVs

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfigureKmsKeyEncryptionPermission",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key_id"
        },
        {
            "Sid": "CreateEc2Instance",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:RunInstances",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

Sostituiscilo 111122223333 con l'ID dell'account che stai utilizzando per creare l'istanza. Sostituiscilo us-east-1 con Regione AWS quello che stai utilizzando per creare l'istanza. Sostituisci key_id con il tuo ID chiave gestito dal cliente. Puoi aggiungere più chiavi, se necessario.

Per ulteriori informazioni sulle autorizzazioni a livello di risorsa necessarie per avviare un' EC2 istanza, consulta Launch instances (). RunInstances

Inoltre, il principale IAM richiede l'autorizzazione iam:PassRole sul ruolo IAM. Deve essere collegata al profilo dell'istanza passato nel parametro custom-iam-instance-profile nella richiesta di creazione dell'istanza database di RDS Custom. Il profilo dell'istanza e il suo ruolo collegato vengono creati in seguito in Fase 2: configurare la rete, il profilo dell’istanza e la crittografia.

Nota

Assicurati che le autorizzazioni elencate in precedenza non siano limitate dalle policy di controllo del servizio (SCPs), dai limiti di autorizzazione o dalle politiche di sessione associate al principale IAM.

Fase 2: configurare la rete, il profilo dell’istanza e la crittografia

Puoi configurare il ruolo del profilo dell'istanza IAM, il cloud privato virtuale (VPC) e la chiave di crittografia AWS KMS simmetrica utilizzando uno dei seguenti processi:

Nota

Se il tuo account fa parte di uno di essi AWS Organizations, assicurati che le autorizzazioni richieste dal ruolo del profilo dell'istanza non siano limitate dalle policy di controllo del servizio (). SCPs

Le configurazioni di rete indicate in questo argomento funzionano meglio con istanze database non accessibili pubblicamente. Non è possibile connettersi direttamente alla istanze database dall’esterno del VPC.

Configurazione con CloudFormation

Per semplificare la configurazione, puoi utilizzare un file CloudFormation modello per creare uno CloudFormation stack. Un CloudFormation modello crea tutte le reti, i profili di istanza e le risorse di crittografia in base ai requisiti di RDS Custom.

Per informazioni su come creare pile, consulta Creazione di uno stack sulla CloudFormation console nella Guida per l'utente.CloudFormation

Per un tutorial su come avviare Amazon RDS Custom for SQL Server utilizzando un CloudFormation modello, consulta Get started with Amazon RDS Custom for SQL Server using an CloudFormation template nel AWS Database Blog.

Parametri richiesti da CloudFormation

I seguenti parametri sono necessari per configurare le risorse dei prerequisiti RDS Custom con: CloudFormation

Gruppo di parametri Nome del parametro Valore predefinito Description
Configurazione della disponibilità Seleziona una configurazione della disponibilità per la configurazione dei prerequisiti Multi-AZ Specifica se impostare i prerequisiti nella configurazione Single-AZ o Multi-AZ per le istanze RDS Custom. È necessario utilizzare la configurazione Multi-AZ se è richiesta almeno un’istanza database Multi-AZ in questa configurazione
Configurazione di rete IPv4 Blocco CIDR per VPC 10.0.0.0/16

Specificate un blocco IPv4 CIDR (o intervallo di indirizzi IP) per il vostro VPC. Questo VPC è configurato per creare e utilizzare un’istanza database RDS Custom.
IPv4 Blocco CIDR per 1 delle 2 sottoreti private 10.0.128.0/20

Specificate un blocco IPv4 CIDR (o intervallo di indirizzi IP) per la prima sottorete privata. Si tratta di una delle due sottoreti in cui è possibile creare l’istanza database RDS Custom. È una sottorete privata senza accesso a Internet.
IPv4 Blocco CIDR per 2 delle 2 sottoreti private 10.0.144.0/20

Specificate un blocco IPv4 CIDR (o intervallo di indirizzi IP) per la seconda sottorete privata. Si tratta di una delle due sottoreti in cui è possibile creare l’istanza database RDS Custom. È una sottorete privata senza accesso a Internet.
IPv4 Blocco CIDR per sottorete pubblica 10.0.0.0/20

Specificate un blocco IPv4 CIDR (o intervallo di indirizzi IP) per la sottorete pubblica. Questa è una delle sottoreti in cui l' EC2 istanza può connettersi con l'istanza RDS Custom DB. È una sottorete pubblica con accesso a Internet.
Configurazione dell’accesso RDP IPv4 Blocco CIDR della tua fonte

Specificate un blocco IPv4 CIDR (o intervallo di indirizzi IP) della fonte. Questo è l'intervallo IP da cui si effettua la connessione RDP all' EC2 istanza nella sottorete pubblica. Se non è impostata, la connessione RDP all' EC2 istanza non è configurata.
Configurazione dell’accesso RDP all’istanza RDS Custom per SQL Server No

Specificare se abilitare la connessione RDP dall' EC2 istanza all'istanza RDS Custom for SQL Server. Per impostazione predefinita, la connessione RDP dall' EC2 istanza all'istanza DB non è configurata.

La corretta creazione dello CloudFormation stack utilizzando le impostazioni predefinite crea le seguenti risorse nel tuo Account AWS:

  • Chiave KMS di crittografia simmetrica per la crittografia dei dati gestiti da RDS Custom.

  • Il profilo dell’istanza è associato a un ruolo IAM con AmazonRDSCustomInstanceProfileRolePolicy per fornire le autorizzazioni richieste da RDS Custom. Per ulteriori informazioni, consulta Amazon RDSCustom ServiceRolePolicy nella AWS Managed Policy Reference Guide.

  • VPC con l'intervallo CIDR specificato come parametro. CloudFormation Il valore predefinito è 10.0.0.0/16.

  • Due sottoreti private con l'intervallo CIDR specificato nei parametri e due diverse zone di disponibilità nella Regione AWS. I valori predefiniti per la sottorete CIDRs sono e. 10.0.128.0/20 10.0.144.0/20

  • Una sottorete pubblica con l’intervallo CIDR specificato nei parametri. Il valore predefinito per l’intervallo CIDR della sottorete è 10.0.0.0/20. L' EC2 istanza risiede in questa sottorete e può essere utilizzata per connettersi all'istanza RDS Custom.

  • Opzione DHCP impostata per il VPC con risoluzione dei nomi di dominio su un server di sistema dei nomi di dominio (DNS) Amazon.

  • Tabella di instradamento da associare a due sottoreti private e nessun accesso a Internet.

  • Tabella di routing da associare alla sottorete pubblica con accesso a Internet.

  • Gateway Internet associato al VPC per consentire l’accesso a Internet alla sottorete pubblica.

  • Lista di controllo degli accessi (ACL) alla rete da associare a due sottoreti private e accesso limitato a HTTPS e porta di database all’interno del VPC.

  • Gruppo di sicurezza VPC da associare all'istanza di RDS Custom. L'accesso è limitato per l'HTTPS in uscita agli Servizio AWS endpoint richiesti da RDS Custom e alla porta DB in entrata dal gruppo di sicurezza dell'istanza. EC2

  • Gruppo di sicurezza VPC da associare all' EC2 istanza nella sottorete pubblica. L’accesso è limitato per la porta database in uscita al gruppo di sicurezza dell’istanza RDS Custom.

  • Gruppo di sicurezza VPC da associare agli endpoint VPC creati per gli endpoint richiesti da Servizio AWS RDS Custom.

  • Gruppo di sottoreti DB in cui vengono create istanze di RDS Custom. Due sottoreti private create da questo modello vengono aggiunte al gruppo di sottoreti del database.

  • Endpoint VPC per ciascuno degli Servizio AWS endpoint richiesti da RDS Custom.

Quando la configurazione della disponibilità viene impostata su Multi-AZ, vengono create le seguenti risorse in aggiunta all’elenco riportato sopra:

  • Regole ACL di rete che consentono la comunicazione tra sottoreti private.

  • Accesso in entrata e in uscita alla porta Multi-AZ all’interno del gruppo di sicurezza VPC associato all’istanza RDS Custom.

  • Da endpoint VPC a endpoint AWS di servizio necessari per la comunicazione Multi-AZ.

Inoltre, quando si imposta la configurazione dell’accesso RDP, vengono create le seguenti risorse:

  • Configurazione dell’accesso RDP alla sottorete pubblica dall’indirizzo IP di origine:

    • Regole ACL di rete che consentono la connessione RDP dall’IP di origine alla sottorete pubblica.

    • Accedi alla porta RDP dall'IP di origine al gruppo di sicurezza VPC associato all'istanza. EC2

  • Configurazione dell'accesso RDP dall' EC2 istanza nella sottorete pubblica all'istanza personalizzata RDS nelle sottoreti private:

    • Regole ACL di rete che consentono la connessione RDP dalla sottorete pubblica alle sottoreti private.

    • Accesso in entrata alla porta RDP dal gruppo di sicurezza VPC associato all'istanza EC2 al gruppo di sicurezza VPC associato all'istanza personalizzata RDS.

Utilizzare le seguenti procedure per creare lo CloudFormation stack per RDS Custom for SQL Server.

Scarica il file modello CloudFormation

Scaricare il file di modello

  1. Apri il menu contestuale (fai clic con il pulsante destro del mouse) per il link custom-sqlserver-onboard.zip e scegli Salva collegamento con nome.

  2. Salva ed estrai il file sul computer.

Configurazione delle risorse tramite CloudFormation

Per configurare le risorse utilizzando CloudFormation

  1. Apri la CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

  2. Per avviare la creazione guidata dello stack, scegli Create Stack (Crea stack).

    Viene visualizzata la pagina Create stack (Crea stack).

  3. Per Prerequisito - Prepara modello, scegliere Il modello è pronto.

  4. Per Specify template (Specifica modello), procedi come segue:

    1. Come Template source (Origine modello), scegliere Upload a template file (Carica un file di modello).

    2. Per Scegli file, individua e quindi scegli il file corretto.

  5. Scegli Next (Successivo).

    Viene visualizzata la pagina Specify stack details (Specifica dettagli stack).

  6. In Nome stack, immetti rds-custom-sqlserver.

  7. Per Parameters (Parametri), effettua le seguenti operazioni:

    1. Per mantenere le opzioni predefinite, scegli Next (Avanti).

    2. Per modificare le opzioni, scegli la configurazione della disponibilità, la configurazione di rete e la configurazione dell’accesso RDP appropriate, quindi scegli Avanti.

      Leggi attentamente la descrizione di ciascun parametro prima di modificare i parametri.

    Nota

    Se scegli di creare almeno un'istanza Multi-AZ in questo CloudFormation stack, assicurati che il CloudFormation parametro stack Seleziona una configurazione di disponibilità per la configurazione dei prerequisiti sia impostato su. Multi-AZ Se crei lo CloudFormation stack come Single-AZ, aggiorna lo stack alla configurazione Multi-AZ prima di creare la CloudFormation prima istanza Multi-AZ.

  8. Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).

  9. Nella pagina Review (Rivedi) rds-custom-sqlserver, effettua le operazioni seguenti:

    1. In Capabilities (Capacità), selezionare la casella di spunta I acknowledge that CloudFormation might create IAM resources with custom names (Conferma che potrebbe creare risorse IAM con nomi personalizzati).

    2. Seleziona Crea stack.

Nota

Non aggiornate le risorse create da questo CloudFormation stack direttamente dalle pagine delle risorse. Ciò impedisce di applicare aggiornamenti futuri a queste risorse utilizzando un CloudFormation modello.

CloudFormation crea le risorse richieste da RDS Custom for SQL Server. Se la creazione dello stack non va a buon fine, leggi la scheda Events (Eventi) per vedere quale creazione risorsa non è andata a buon fine e il motivo dello stato.

La scheda Output per questo CloudFormation stack nella console dovrebbe contenere informazioni su tutte le risorse da passare come parametri per la creazione di un'istanza DB RDS Custom for SQL Server. Assicurati di utilizzare il gruppo di sicurezza VPC e il gruppo di sottoreti DB creati da CloudFormation per le istanze DB personalizzate RDS. Per impostazione predefinita, RDS tenta di collegare il gruppo di sicurezza VPC predefinito, che potrebbe non disporre dell'accesso necessario.

Se in passato creavi CloudFormation risorse, puoi saltare. Configurazione manuale

È inoltre possibile aggiornare alcune configurazioni dello CloudFormation stack dopo la creazione. Le configurazioni che possono essere aggiornate sono:

  • Configurazione della disponibilità per RDS Custom per SQL Server

    • Seleziona una configurazione della disponibilità per l’impostazione dei prerequisiti: aggiorna questo parametro per passare dalla configurazione Single-AZ alla configurazione Multi-AZ e viceversa. Se si utilizza questo CloudFormation stack per almeno un'istanza Multi-AZ, è necessario aggiornare lo stack per scegliere la configurazione Multi-AZ.

  • Configurazione dell’accesso RDP per RDS Custom per SQL Server

    • IPv4 Blocco CIDR della fonte: è possibile aggiornare il blocco IPv4 CIDR (o intervallo di indirizzi IP) della fonte aggiornando questo parametro. Se questo parametro viene lasciato vuoto, viene rimossa la configurazione dell’accesso RDP dall’intervallo CIDR di origine alla sottorete pubblica.

    • Configurazione dell'accesso RDP a RDS Custom for SQL Server: abilita o disabilita la connessione RDP dall' EC2 istanza all'istanza RDS Custom for SQL Server.

È possibile eliminare lo CloudFormation stack dopo aver eliminato tutte le istanze RDS Custom che utilizzano risorse dallo stack. RDS Custom non tiene traccia dello CloudFormation stack, quindi non blocca l'eliminazione dello stack quando ci sono istanze DB che utilizzano risorse dello stack. Assicurati che nessuna istanza database RDS Custom utilizzi le risorse dello stack al momento dell’eliminazione dello stack.

Nota

Quando si elimina uno CloudFormation stack, tutte le risorse create dallo stack vengono eliminate tranne la chiave KMS. La chiave KMS entra in stato di attesa di eliminazione e viene eliminata dopo 30 giorni. Per conservare la chiave KMS, esegui un'CancelKeyDeletionoperazione durante il periodo di prova di 30 giorni.

Configurazione manuale

Se scegli di configurare le risorse manualmente, esegui le seguenti operazioni.

Nota

Per semplificare la configurazione, puoi utilizzare il file CloudFormation modello per creare uno CloudFormation stack anziché una configurazione manuale. Per ulteriori informazioni, consulta Configurazione con CloudFormation.

È inoltre possibile utilizzare il AWS CLI per completare questa sezione. In questo caso, scarica e installare la CLI più recente.

Assicurati di disporre di una chiave di crittografia simmetrica AWS KMS

È richiesta una crittografia simmetrica per RDS AWS KMS key Custom. Quando crei un’istanza database RDS Custom per SQL Server, assicurati di specificare l’identificatore di chiave KMS come parametro kms-key-id. Per ulteriori informazioni, consulta Creazione e connessione a un'istanza database per Amazon RDS Custom per SQL Server.

Sono disponibili le seguenti opzioni:

  • Se disponi già di una chiave KMS gestita dal cliente Account AWS, puoi utilizzarla con RDS Custom. Non è richiesta alcuna operazione aggiuntiva.

  • Se hai già creato una chiave KMS di crittografia simmetrica gestita dal cliente per un motore RDS Custom diverso, puoi riutilizzare la stessa chiave KMS. Non è richiesta alcuna operazione aggiuntiva.

  • Se non disponi di una chiave KMS di crittografia simmetrica gestita dal cliente esistente nel tuo account, crea una chiave KMS seguendo le istruzioni in Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

  • Se stai creando un'istanza DB personalizzata CEV o RDS e la tua chiave KMS si trova in un'altra istanza Account AWS, assicurati di utilizzare la. AWS CLI Non puoi utilizzare la AWS console con chiavi KMS per più account.

Importante

RDS Custom non supporta le chiavi KMS AWS gestite.

Assicurati che la tua chiave di crittografia simmetrica conceda l'accesso al ruolo kms:Decrypt and kms:GenerateDataKey operations to the AWS Identity and Access Management (IAM) nel profilo dell'istanza IAM. Se hai una nuova chiave di crittografia simmetrica nel tuo account, non sono necessarie modifiche. Altrimenti, assicurati che la policy della chiave di crittografia simmetrica fornisca l'accesso a queste operazioni.

Per ulteriori informazioni, consulta Fase 4: configurazione di IAM per RDS Custom per Oracle.

Creazione manuale del ruolo IAM e del profilo dell'istanza

È possibile creare manualmente un profilo dell’istanza e utilizzarlo per avviare istanze RDS Custom. Se intendi creare l'istanza in Console di gestione AWS, salta questa sezione. Console di gestione AWS Consente di creare e allegare un profilo di istanza alle istanze DB personalizzate RDS. Per ulteriori informazioni, consulta Creazione automatizzata del profilo di istanza utilizzando Console di gestione AWS.

Quando crei manualmente un profilo dell’istanza, passa il nome del profilo dell’istanza come parametro custom-iam-instance-profile al comando create-db-instance della CLI. RDS Custom utilizza il ruolo associato a questo profilo dell’istanza per eseguire l’automazione e gestire l’istanza.

Per utilizzare il profilo dell'istanza IAM e ruoli IAM per RDS Custom per SQL Server

  1. Crea il ruolo IAM denominato AWSRDSCustomSQLServerInstanceRole con una policy di fiducia che consenta ad Amazon di EC2 assumere questo ruolo.

  2. Aggiungi la AWS Managed Policy AmazonRDSCustomInstanceProfileRolePolicy aAWSRDSCustomSQLServerInstanceRole.

  3. Crea un profilo dell'istanza IAM per RDS Custom per SQL Server denominato AWSRDSCustomSQLServerInstanceProfile.

  4. Aggiungere AWSRDSCustomSQLServerInstanceRole al profilo dell'istanza.

Crea il ruolo AWSRDSCustom SQLServer InstanceRole IAM

L'esempio seguente crea il ruolo AWSRDSCustomSQLServerInstanceRole. La politica di fiducia consente ad Amazon di EC2 assumere il ruolo.

aws iam create-role \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --assume-role-policy-document '{
        "Version": "2012-10-17",		 	 	 
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                  "Service": "ec2.amazonaws.com"
              }
            }
          ]
        }'
Aggiungi una politica di accesso a AWSRDSCustom SQLServer InstanceRole

Per fornire le autorizzazioni richieste, allega la politica AWS gestita AmazonRDSCustomInstanceProfileRolePolicy aAWSRDSCustomSQLServerInstanceRole. AmazonRDSCustomInstanceProfileRolePolicyconsente alle istanze RDS Custom di inviare e ricevere messaggi ed eseguire varie azioni di automazione.

Nota

Assicurati che le autorizzazioni nella politica di accesso non siano limitate SCPs o che i limiti di autorizzazione siano associati al ruolo del profilo dell'istanza.

L'esempio seguente AWS allega una policy gestita AmazonRDSCustomInstanceProfileRolePolicy al AWSRDSCustomSQLServerInstanceRole ruolo.

aws iam attach-role-policy \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy
Creare un profilo dell'istanza RDS Custom for SQL server

Un profilo dell'istanza è un container che include un ruolo IAM singolo. RDS Custom utilizza il profilo dell'istanza per trasferire il ruolo all'istanza.

Se utilizzi il per Console di gestione AWS creare un ruolo per Amazon EC2, la console crea automaticamente un profilo di istanza e gli assegna lo stesso nome del ruolo al momento della creazione del ruolo. Creare il profilo dell'istanza IAM come segue, denominandolo AWSRDSCustomSQLServerInstanceProfile.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile
Aggiungilo AWSRDSCustom SQLServer InstanceRole al tuo profilo di istanza RDS Custom for SQL Server

Aggiungi il ruolo AWSRDSCustomInstanceRoleForRdsCustomInstance al profilo AWSRDSCustomSQLServerInstanceProfile creato in precedenza.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \
    --role-name AWSRDSCustomSQLServerInstanceRole

Configurazione manuale del VPC

La tua istanza DB personalizzata RDS si trova in un cloud privato virtuale (VPC) basato sul servizio Amazon VPC, proprio come un'istanza Amazon o un' EC2 istanza Amazon RDS. Fornisci e configuri il VPC personalizzato. Pertanto, hai il pieno controllo sulla configurazione della rete delle istanze.

RDS Custom invia la comunicazione dall'istanza database ad altri Servizi AWS. Assicurati che i seguenti servizi siano accessibili dalla sottorete in cui crei le istanze database RDS Custom:

  • Amazon CloudWatch (com.amazonaws.region.monitoring)

  • CloudWatch Registri Amazon () com.amazonaws.region.logs

  • CloudWatch Eventi Amazon (com.amazonaws.region.events)

  • Amazon EC2 (com.amazonaws.region.ec2ecom.amazonaws.region.ec2messages)

  • Amazon EventBridge (com.amazonaws.region.events)

  • Amazon S3 (com.amazonaws.region.s3)

  • Gestione dei segreti AWS (com.amazonaws.region.secretsmanager)

  • AWS Systems Manager (com.amazonaws.region.ssmecom.amazonaws.region.ssmmessages)

Per la creazione di implementazioni Multi-AZ

  • Amazon Simple Queue Service (com.amazonaws.region.sqs)

Se RDS Custom non è in grado di comunicare con i servizi necessari, pubblica i seguenti eventi:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Per evitare incompatible-network errori, assicurati che i componenti VPC coinvolti nella comunicazione tra l'istanza DB personalizzata di RDS Servizi AWS soddisfino i seguenti requisiti:

  • L'istanza database può effettuare connessioni in uscita sulla porta 443 ad altri Servizi AWS.

  • Il VPC consente risposte in entrata alle richieste che originano dall'istanza database RDS Custom.

  • RDS Custom può risolvere correttamente i nomi di dominio degli endpoint per ogni Servizio AWS.

Se hai già configurato un VPC per un motore di database RDS Custom diverso, puoi riutilizzare tale VPC e ignorare questo processo.

Configura il tuo gruppo di sicurezza VPC

Un gruppo di sicurezza funge da firewall virtuale per un'istanza VPC, controllando il traffico in entrata e quello in uscita. All’interfaccia di rete di un’istanza database RDS Custom è collegato un gruppo di sicurezza predefinito che protegge l’istanza. Assicurati che il gruppo di sicurezza consenta il traffico tra RDS Custom e altri Servizi AWS tramite HTTPS. Questo gruppo di sicurezza deve essere passato come parametro vpc-security-group-ids nella richiesta di creazione dell’istanza.

Per configurare il gruppo di sicurezza per RDS Custom

  1. Accedi a Console di gestione AWS e apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com /vpc.

  2. Consenti a RDS Custom di utilizzare il gruppo di sicurezza predefinito o di creare un gruppo di sicurezza personalizzato.

    Per istruzioni dettagliate, vedi Fornisci accesso alla istanza database nel VPC creando un gruppo di sicurezza.

  3. Assicurati che il gruppo di sicurezza consenta le connessioni in uscita sulla porta 443. RDS Custom ha bisogno di questa porta per comunicare con Servizi AWS dipendenti.

  4. Se disponi di un VPC privato e utilizzi endpoint VPC, assicurati che il gruppo di sicurezza associato all'istanza database consenta le connessioni in uscita sulla porta 443 a endpoint VPC. Assicurati inoltre che il gruppo di sicurezza associato all'endpoint VPC consenta connessioni in entrata sulla porta 443 dall'istanza database.

    Se le connessioni in entrata non sono consentite, l'istanza RDS Custom non può connettersi agli endpoint e AWS Systems Manager Amazon EC2 . Per ulteriori informazioni, consulta Creazione di un endpoint di un Virtual Private Cloud nella Guida per l'utente di AWS Systems Manager .

  5. Per le istanze RDS Custom per SQL Server di tipo Multi-AZ, assicurati che il gruppo di sicurezza associato all’istanza database consenta le connessioni in entrata e in uscita sulla porta 1120 a questo gruppo di sicurezza. Questo è necessario per la connessione host peer su un’istanza database RDS Custom per SQL Server di tipo Multi-AZ.

Per ulteriori informazioni sui gruppi di sicurezza, consulta Gruppi di sicurezza per il VPC nella Guida per gli sviluppatori Amazon VPC.

Configura gli endpoint per i dipendenti Servizi AWS

È consigliato aggiungere endpoint per ogni servizio VPC utilizzando le seguenti istruzioni. Tuttavia, puoi utilizzare qualsiasi soluzione che consenta al tuo VPC di comunicare con gli endpoint del AWS servizio. Ad esempio, è possibile utilizzare Network Address Translation (NAT) o AWS Direct Connect.

Per configurare gli endpoint Servizi AWS con cui funziona RDS Custom

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Per cambiare regione, usa il selettore di regione nella barra di navigazione per scegliere Regione AWS.

  3. Nel pannello di navigazione, seleziona Endpoints (Endpoint). Nel riquadro principale, seleziona Create Endpoint (Crea endpoint).

  4. Per Service category (Categoria servizio), scegli Servizi AWS.

  5. Per Service Name (Nome servizio), scegliere l'endpoint mostrato nella tabella.

  6. In VPC, seleziona il VPC.

  7. In Subnets (Sottoreti), scegli una sottorete per ogni zona di disponibilità da includere.

    L'endpoint VPC può estendersi su più zone di disponibilità. AWS crea un'interfaccia di rete elastica per l'endpoint VPC in ogni sottorete scelta. Ogni interfaccia di rete dispone di un nome host Domain Name System (DNS) e di un indirizzo IP privato.

  8. Per Security groups (Gruppi di sicurezza), seleziona o crea un gruppo di sicurezza.

    Puoi utilizzare i gruppi di sicurezza per controllare l'accesso al tuo endpoint, come se utilizzassi un firewall. Assicurati che il gruppo di sicurezza consenta le connessioni in entrata sulla porta 443 dalle istanze database. Per ulteriori informazioni sui gruppi di sicurezza, consulta Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

  9. Facoltativamente, puoi collegare una policy all'endpoint VPC. Le policy degli endpoint possono controllare l'accesso all'ambiente Servizio AWS a cui ti stai connettendo. La policy predefinita consente a tutte le richieste di passare attraverso l'endpoint. Se utilizzi una policy personalizzata, assicurati che le richieste dall'istanza database siano consentite nella policy.

  10. Seleziona Crea endpoint.

Nella tabella seguente viene illustrato come trovare l'elenco degli endpoint di cui il VPC ha bisogno per le comunicazioni in uscita.

Servizio Formato dell'endpoint Note e link

AWS Systems Manager

Utilizzare i seguenti formati dell'endpoint:

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Per un elenco di tutti gli endpoint in ogni regione, consulta Endpoint e quote di AWS Systems Manager in Riferimenti generali di Amazon Web Services.

Gestione dei segreti AWS

Utilizzare il formato dell'endpoint secretsmanager.region.amazonaws.com.

Per un elenco di tutti gli endpoint in ogni regione, consulta Endpoint e quote di Gestione dei segreti AWS in Riferimenti generali di Amazon Web Services.

Amazon CloudWatch

Utilizzare i seguenti formati dell'endpoint:

  • Per le CloudWatch metriche, usa monitoring.region.amazonaws.com

  • Per CloudWatch gli eventi, usa events.region.amazonaws.com

  • Per CloudWatch i registri, usa logs.region.amazonaws.com

 Per l'elenco degli endpoint in ogni regione, consultare:

Amazon EC2

Utilizzare i seguenti formati dell'endpoint:

  • ec2.region.amazonaws.com

  • ec2messages.region.amazonaws.com

Per un elenco completo degli endpoint in ogni regione, consulta Endpoint e quote di Amazon Elastic Compute Cloud in Riferimenti generali di Amazon Web Services.

Simple Storage Service (Amazon S3)

Utilizzare il formato dell'endpoint s3.region.amazonaws.com.

Per un elenco completo degli endpoint in ogni regione, consulta Endpoint e quote di Amazon Simple Storage Service in Riferimenti generali di Amazon Web Services.

Per ulteriori informazioni sugli endpoint gateway per Simple Storage Service (Amazon S3), consultare Endpoint per Amazon S3 nella Guida per gli sviluppatori Amazon VPC.

Per informazioni su come creare un punto di accesso, consultare Creazione di access point nella Guida per gli sviluppatori Amazon VPC.

Per informazioni su come creare endpoint gateway per Simple Storage Service (Amazon S3), consultare Endpoint VPC gateway.

Amazon Simple Queue Service

 Utilizzare il formato dell’endpoint sqs.region.amazonaws.com. Per un elenco completo degli endpoint in ogni Regione, consulta Endpoint e quote di Amazon Simple Queue Service.
Configurazione del servizio di metadati dell'istanza

Verificare che l'istanza possa fare:

  • Accedi al servizio di metadati dell'istanza utilizzando Instance Metadata Service versione 2 ()IMDSv2.

  • Consenti comunicazioni in uscita tramite la porta 80 (HTTP) all'indirizzo IP del collegamento IMDS.

  • Richiedi i metadati dell'istanza dahttp://169.254.169.254, il link. IMDSv2

Per ulteriori informazioni, consulta Use IMDSv2 in the Amazon EC2 User Guide.

Restrizioni tra istanze

Quando crei un profilo di istanza seguendo i passaggi precedenti, utilizza la policy AWS gestita AmazonRDSCustomInstanceProfileRolePolicy per fornire le autorizzazioni richieste a RDS Custom, che consente la gestione e l'automazione del monitoraggio delle istanze. La policy gestita assicura che le autorizzazioni consentano l’accesso solo alle risorse necessarie a RDS Custom per eseguire l’automazione. È consigliabile utilizzare la policy gestita per supportare nuove funzionalità e soddisfare i requisiti di sicurezza che vengono applicati automaticamente ai profili di istanza esistenti senza intervento manuale. Per ulteriori informazioni, consulta la policy AWS gestita: Amazon RDSCusto m InstanceProfileRolePolicy.

La policy gestita AmazonRDSCustomInstanceProfileRolePolicy limita il profilo dell’istanza all’accesso multi-account, ma potrebbe consentire l’accesso ad alcune risorse gestite di RDS Custom in più istanze RDS Custom all’interno dello stesso account. Se necessario, puoi utilizzare i limiti delle autorizzazioni per limitare ulteriormente l’accesso tra istanze. I limiti delle autorizzazioni definiscono le autorizzazioni massime che le policy basate sull’identità possono concedere a un’entità, ma non concedono autorizzazioni. Per ulteriori informazioni, consulta Valutazione delle autorizzazioni valide con i limiti.

Ad esempio, la seguente politica di confine limita il ruolo del profilo dell'istanza all'accesso a una AWS KMS chiave specifica e limita l'accesso alle risorse gestite da RDS Custom tra istanze che utilizzano chiavi diverse. AWS KMS

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyOtherKmsKeyAccess",
            "Effect": "Deny",
            "Action": "kms:*",
            "NotResource": "arn:aws:kms:us-east-1:111122223333:key/KMS_key_ID"
        }
    ]
}
Nota

Assicurati che il limite delle autorizzazioni non blocchi le autorizzazioni che AmazonRDSCustomInstanceProfileRolePolicy concede a RDS Custom.