Prerequisiti Avvio di uno stack Amazon DocumentDB AWS CloudFormation Accesso al cluster Amazon DocumentDB Protezione dalla terminazione e protezione dall'eliminazione

Guida rapida all'uso di Amazon DocumentDB AWS CloudFormation

Questa sezione contiene passaggi e altre informazioni per aiutarti a iniziare rapidamente a usare Amazon DocumentDB (con compatibilità con MongoDB) utilizzando. AWS CloudFormation Per informazioni generali su Amazon DocumentDB, consulta. Cos'è Amazon DocumentDB (con compatibilità con MongoDB)

Queste istruzioni utilizzano un AWS CloudFormation modello per creare un cluster e delle istanze nel tuo Amazon VPC predefinito. Per istruzioni su come creare queste risorse, consultare Inizia a usare Amazon DocumentDB.

Importante

Lo AWS CloudFormation stack creato da questo modello crea più risorse, incluse risorse in Amazon DocumentDB (ad esempio, un cluster e istanze) e Amazon Elastic Compute Cloud (ad esempio, un gruppo di sottoreti).

Alcune di queste risorse non sono gratuite. Per informazioni sui prezzi, consulta i prezzi di Amazon DocumentDB e Amazon EC2 Pricing. Al termine, è possibile eliminare lo stack per interrompere gli addebiti.

Questo AWS CloudFormation stack è destinato esclusivamente a scopi didattici. Se utilizzi questo modello per un ambiente di produzione, ti consigliamo di utilizzare politiche e sicurezza IAM più rigorose. Per informazioni sulla protezione delle risorse, consulta Amazon VPC Security e EC2 Amazon Network and Security.

Argomenti

Prerequisiti
Avvio di uno stack Amazon DocumentDB AWS CloudFormation
Accesso al cluster Amazon DocumentDB
Protezione dalla terminazione e protezione dall'eliminazione

Prerequisiti

Prima di creare un cluster Amazon DocumentDB, è necessario disporre di quanto segue:

Un Amazon VPC predefinito
Le autorizzazioni IAM richieste

Autorizzazioni IAM richieste

Le seguenti autorizzazioni consentono di creare le risorse per lo stack AWS CloudFormation :

AWS Politiche gestite

AWSCloudFormationReadOnlyAccess
AmazonDocDBFullAccess

Autorizzazioni aggiuntive per IAM

La seguente politica delinea le autorizzazioni aggiuntive necessarie per creare ed eliminare questo AWS CloudFormation stack.

Negli esempi seguenti, sostituisci ciascuno di essi user input placeholder con le informazioni della tua risorsa.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DocDBPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBCluster",
                "rds:DeleteDBCluster",
                "rds:ModifyDBCluster",
                "rds:DescribeDBClusters",
                "rds:CreateDBInstance",
                "rds:DeleteDBInstance",
                "rds:ModifyDBInstance",
                "rds:DescribeDBInstances",
                "rds:CreateDBSubnetGroup",
                "rds:DeleteDBSecurityGroup",
                "rds:DescribeDBSubnetGroups"
            ],
            "Resource": [
                "arn:aws:rds:{AWS_REGION}:{AWS_ACCOUNT_ID}:cluster:*",
                "arn:aws:rds:{AWS_REGION}:{AWS_ACCOUNT_ID}:db:*",
                "arn:aws:rds:{AWS_REGION}:{AWS_ACCOUNT_ID}:subgrp:*"
            ]
        },
        {
            "Sid": "EC2NetworkingPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup",
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets"
            ],
            "Resource": [
                "arn:aws:ec2:{AWS_REGION}:{AWS_ACCOUNT_ID}:security-group/*",
                "arn:aws:ec2:{AWS_REGION}:{AWS_ACCOUNT_ID}:vpc/*",
                "arn:aws:ec2:{AWS_REGION}:{AWS_ACCOUNT_ID}:subnet/*"
            ]
        },
        {
            "Sid": "EC2DescribePermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchLogsPermissions",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData",
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:{AWS_REGION}:{AWS_ACCOUNT_ID}:log-group:/aws/docdb/*",
                "arn:aws:logs:{AWS_REGION}:{AWS_ACCOUNT_ID}:log-group:/aws/docdb/*:log-stream:*"
            ]
        },
        {
            "Sid": "KMSPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:CreateKey",
                "kms:DescribeKey",
                "kms:EnableKey",
                "kms:ListKeys",
                "kms:PutKeyPolicy"
            ],
            "Resource": "arn:aws:kms:{AWS_REGION}:{AWS_ACCOUNT_ID}:key/*"
        },
        {
            "Sid": "KMSEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:{AWS_REGION}:{AWS_ACCOUNT_ID}:key/*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": [
                        "rds.{AWS_REGION}.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Sid": "IAMServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::{AWS_ACCOUNT_ID}:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "rds.amazonaws.com"
                }
            }
        }
    ]
}

Coppia di EC2 chiavi Amazon

È necessario disporre di una coppia di chiavi (e del file PEM) disponibili nella regione in cui verrà creato lo AWS CloudFormation stack. Se devi creare una coppia di chiavi, consulta la sezione Creazione di una coppia di chiavi con Amazon EC2 nella Amazon EC2 User Guide.

Avvio di uno stack Amazon DocumentDB AWS CloudFormation

Questa sezione descrive come avviare e configurare uno stack Amazon DocumentDB. AWS CloudFormation

Accedi all'indirizzo. AWS Management Console https://console.aws.amazon.com/

La tabella seguente elenca i modelli di stack Amazon DocumentDB per ciascuno di essi. Regione AWS Scegli Launch Stack per il tipo in Regione AWS cui vuoi lanciare lo stack.

Regione	Visualizza modello	Visualizzazione in Designer
Stati Uniti orientali (Ohio)	Visualizza modello	Visualizzazione in Designer
Stati Uniti orientali (Virginia settentrionale)	Visualizza modello	Visualizzazione in Designer
US West (Oregon)	Visualizza modello	Visualizzazione in Designer
Asia Pacifico (Mumbai)	Visualizza modello	Visualizzazione in Designer
Asia Pacifico (Seoul)	Visualizza modello	Visualizzazione in Designer
Asia Pacifico (Singapore)	Visualizza modello	Visualizzazione in Designer
Asia Pacifico (Sydney)	Visualizza modello	Visualizzazione in Designer
Asia Pacifico (Tokyo)	Visualizza modello	Visualizzazione in Designer
Canada (Centrale)	Visualizza modello	Visualizzazione in Designer
Europa (Francoforte)	Visualizza modello	Visualizzazione in Designer
Europa (Irlanda)	Visualizza modello	Visualizzazione in Designer
Europa (Londra)	Visualizza modello	Visualizzazione in Designer
Europa (Parigi)	Visualizza modello	Visualizzazione in Designer

Crea stack: descrive il modello Amazon DocumentDB selezionato. Ogni stack è basato su un modello, un file JSON o YAML, che contiene la configurazione AWS delle risorse che desideri includere nello stack. Poiché hai scelto di avviare uno stack tra i modelli forniti sopra, il modello è già stato configurato per creare uno stack Amazon DocumentDB per Regione AWS lo stack che hai scelto.

Quando avvii uno AWS CloudFormation stack, la protezione da eliminazione per il tuo cluster Amazon DocumentDB è disabilitata per impostazione predefinita. Se si desidera abilitare la protezione da eliminazione per il cluster, eseguire la procedura seguente. In caso contrario, scegliere Next (Avanti) per continuare con la fase successiva.

Per abilitare la protezione da eliminazione per il tuo cluster Amazon DocumentDB:
1. Scegliere View in Designer (Visualizza in Designer) nell'angolo in basso a destra della pagina Create stack (Crea stack) .
2. Modifica il modello utilizzando l'editor JSON e YAML integrato nella pagina AWS CloudFormation Designer risultante della console. Scorrere fino alla sezione Resources e modificala per includere DeletionProtection, come segue. Per ulteriori informazioni sull'utilizzo di AWS CloudFormation Designer, consulta What Is Designer? AWS CloudFormation .
  
  JSON:
```
"Resources": {
    "DBCluster": {
        "Type": "AWS::DocDB::DBCluster",
        "DeletionPolicy": "Delete",
        "Properties": {
            "DBClusterIdentifier": {
                "Ref": "DBClusterName"
            },
            "MasterUsername": {
                "Ref": "MasterUser"
            },
            "MasterUserPassword": { 
                "Ref": "MasterPassword"
            }, 
            "DeletionProtection": "true"
        }
    },
```
  YAML:
```
Resources:
  DBCluster:
    Type: 'AWS::DocDB::DBCluster'
    DeletionPolicy: Delete
    Properties:
      DBClusterIdentifier: !Ref DBClusterName
      MasterUsername: !Ref MasterUser
      MasterUserPassword: !Ref MasterPassword
      DeletionProtection: 'true'
```
3. Scegliere Create Stack (Crea stack) ( ) nell'angolo in alto a sinistra della pagina per salvare le modifiche e creare uno stack con queste modifiche abilitate.
4. Dopo aver salvato le modifiche, si verrà reindirizzati alla pagina Create Stack (Crea stack) .
5. Seleziona Successivo per continuare.
Specificate i dettagli dello stack: inserite il nome e i parametri dello stack per il modello. I parametri sono definiti nel modello e consentono di immettere valori personalizzati quando crei o aggiorni uno stack.
- In Stack name (Nome stack), immettere un nome per lo stack o accettare il nome fornito. Il nome dello stack può includere lettere (A—Z e a—z), numeri (0—9) e trattini (—).
- In Parameters (Parametri), immettere i seguenti dettagli:
  - DBClusterNome: inserisci un nome per il tuo cluster Amazon DocumentDB o accetta il nome fornito.
    
    Vincoli per la denominazione del cluster:
    La lunghezza è di [1—63] lettere, numeri o trattini.
    
    Il primo carattere deve essere una lettera.
    
    Non può terminare con un trattino o contenere due trattini consecutivi.
    
    Deve essere unico per tutti i cluster di Amazon RDS, Neptune e Amazon DocumentDB per regione. Account AWS
  - DBInstanceClasse: dall'elenco a discesa, seleziona la classe di istanza per il tuo cluster Amazon DocumentDB.
  - DBInstanceNome: inserisci un nome per la tua istanza Amazon DocumentDB o accetta il nome fornito.
    
    Vincoli per la denominazione di un'istanza:
    La lunghezza è di [1—63] lettere, numeri o trattini.
    
    Il primo carattere deve essere una lettera.
    
    Non può terminare con un trattino o contenere due trattini consecutivi.
    
    Deve essere unico per tutte le istanze in Amazon RDS, Neptune e Amazon DocumentDB per regione. Account AWS
  - MasterPassword— La password dell'account di amministratore del database.
  - MasterUser— Il nome utente dell'account di amministratore del database. MasterUser Deve iniziare con una lettera e può contenere solo caratteri alfanumerici.
Scegliere Next (Avanti) per salvare le modifiche e continuare.
Configura le opzioni dello stack: configura i tag, le autorizzazioni e le opzioni aggiuntive dello stack.
- Tag: specifica le coppie di tag (chiave-valore) da applicare alle risorse dello stack. È possibile aggiungere fino a 50 tag univoci per ogni stack.
- Autorizzazioni: facoltative. Scegli un ruolo IAM per definire in modo esplicito come AWS CloudFormation creare, modificare o eliminare le risorse nello stack. Se non scegli un ruolo, AWS CloudFormation utilizza le autorizzazioni in base alle tue credenziali utente. Prima di specificare un ruolo del servizio, assicurarsi di disporre dell'autorizzazione per passarlo (iam:PassRole). L'autorizzazione iam:PassRole specifica quali ruolo puoi utilizzare.
  
  Nota
  Quando specifichi un ruolo di servizio, utilizza AWS CloudFormation sempre quel ruolo per tutte le operazioni eseguite su quello stack. Gli altri utenti che hanno le autorizzazioni per eseguire operazioni su questo stack saranno in grado di utilizzare questo ruolo, anche se non dispongono dell'autorizzazione per passarlo. Se il ruolo include le autorizzazioni di cui l'utente non dovrebbe disporre, puoi riassegnare involontariamente le autorizzazioni di un utente. Assicurati che il ruolo conceda il minimo privilegio.
- Opzioni avanzate: è possibile impostare le seguenti opzioni avanzate:
  - Politica dello stack: facoltativa. Definisce le risorse che si desidera proteggere da aggiornamenti involontari durante un aggiornamento dello stack. Per impostazione predefinita, durante un aggiornamento dello stack possono essere aggiornate tutte le risorse.
    
    È possibile inserire la policy di stack direttamente come JSON o caricare un file in formato JSON che contenga la policy dello stack. Per ulteriori informazioni, consulta Impedire gli aggiornamenti delle risorse stack.
  - Configurazione di rollback: opzionale. Specificate CloudWatch gli allarmi Logs AWS CloudFormation da monitorare durante la creazione e l'aggiornamento dello stack. Se l'operazione supera una soglia di allarme, AWS CloudFormation la ripristina.
  - Opzioni di notifica: facoltative. Specificare argomenti per Simple Notification System (SNS).
  - Opzioni di creazione dello stack: facoltative. Puoi specificare le seguenti opzioni:
    Rollback in caso di errore: indica se lo stack deve essere ripristinato o meno se la creazione dello stack fallisce.
    
    Timeout: il numero di minuti prima del timeout per la creazione di uno stack.
    
    Protezione dalla terminazione: impedisce l'eliminazione accidentale dello stack.
    
    Nota
    AWS CloudFormation la protezione dalla terminazione è diversa dal concetto di protezione dall'eliminazione di Amazon DocumentDB. Per ulteriori informazioni, consulta Protezione dalla terminazione e protezione dall'eliminazione.
Seleziona Successivo per continuare.
Revisione<stack-name>: esamina il modello dello stack, i dettagli e le opzioni di configurazione. È inoltre possibile aprire un quick-create link (collegamento di creazione rapida) nella parte inferiore della pagina per creare stack con le stesse configurazioni di base di questo.
- Scegliere Create (Crea) per creare lo stack.
- In alternativa, è possibile scegliere Create change set (Crea set di modifiche). Un set di modifiche è un'anteprima di come verrà configurato questo stack prima che venga creato. Ciò consente di esaminare varie configurazioni prima di eseguire il set di modifiche.

Accesso al cluster Amazon DocumentDB

Una volta completato lo AWS CloudFormation stack, puoi utilizzare un' EC2 istanza Amazon per connetterti al tuo cluster Amazon DocumentDB. Per informazioni sulla connessione a un' EC2 istanza Amazon tramite SSH, consulta Connect to Your Linux Instance nella Amazon EC2 User Guide.

Dopo la connessione, consulta le seguenti sezioni, che contengono informazioni sull'uso di Amazon DocumentDB.

Protezione dalla terminazione e protezione dall'eliminazione

È una best practice di Amazon DocumentDB abilitare la protezione da cancellazioni e terminazioni. CloudFormation la protezione dalla terminazione è una funzionalità nettamente diversa dalla funzionalità di protezione dall'eliminazione di Amazon DocumentDB.

Protezione dalla terminazione: puoi evitare che uno stack venga eliminato accidentalmente abilitando la protezione dalla terminazione per il tuo stack. CloudFormation Se un utente tenta di eliminare uno stack con protezione da cessazione abilitata, l'eliminazione ha esito negativo e lo stack rimane invariato. La protezione dalla terminazione è disattivata per impostazione predefinita quando si crea uno stack utilizzando. CloudFormation Puoi abilitare la protezione da cessazione sullo stack quando lo crei. Per ulteriori informazioni, vedere Impostazione delle opzioni AWS CloudFormation dello stack.
Protezione da eliminazione: Amazon DocumentDB offre anche la possibilità di abilitare la protezione da eliminazione per un cluster. Se un utente tenta di eliminare un cluster Amazon DocumentDB con la protezione da eliminazione abilitata, l'eliminazione fallisce e il cluster rimane invariato. La protezione da eliminazione, se abilitata, protegge da eliminazioni accidentali da Amazon AWS Management Console DocumentDB AWS CLI e. CloudFormation Per ulteriori informazioni sull'attivazione e la disabilitazione della protezione da eliminazione per un cluster Amazon DocumentDB, consulta. Deletion protection (Protezione da eliminazione)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Guida introduttiva

Compatibilità con MongoDB