Einrichten Ihrer Umgebung für Amazon RDS Custom for Oracle - Amazon Relational Database Service
Schritt 1: Erstellen oder Wiederverwenden eines symmetrischen AWS KMS -VerschlüsselungsschlüsselsSchritt 2: Laden Sie das herunter und installieren Sie es AWS CLISchritt 3: Extrahieren Sie die CloudFormation Vorlagen für RDS Custom for OracleSchritt 4: Konfigurieren Sie IAM für RDS Custom für OracleSchritt 5: Erteilen Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle die erforderlichen BerechtigungenSchritt 6: Konfigurieren Sie Ihre VPC für RDS Custom for Oracle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten Ihrer Umgebung für Amazon RDS Custom for Oracle

Bevor Sie eine DB-Instance für Amazon RDS Custom für Oracle erstellen, führen Sie die folgenden Schritte aus.

Schritt 1: Erstellen oder Wiederverwenden eines symmetrischen AWS KMS -Verschlüsselungsschlüssels

Von Kunden verwaltete Schlüssel befinden sich AWS KMS keys in Ihrem AWS Konto, das Sie erstellen, besitzen und verwalten. Ein kundenverwalteter symmetrischer KMS-Verschlüsselungsschlüssel ist für RDS Custom erforderlich. Wenn Sie eine DB-Instance von RDS Custom for Oracle erstellen, geben Sie die KMS-Schlüsselkennung an. Weitere Informationen finden Sie unter Konfigurieren einer DB-Instance für Amazon RDS Custom für Oracle.

Ihnen stehen folgende Optionen zur Verfügung:

  • Wenn Sie bereits einen kundenverwalteten KMS-Schlüssel in Ihrem haben AWS-Konto, können Sie ihn mit RDS Custom verwenden. Es sind keine weiteren Maßnahmen erforderlich.

  • Wenn Sie bereits einen kundenverwalteten symmetrischen KMS-Verschlüsselungsschlüssel für eine andere RDS-Custom-Engine erstellt haben, können Sie denselben KMS-Schlüssel wiederverwenden. Es sind keine weiteren Maßnahmen erforderlich.

  • Wenn Sie keinen vorhandenen kundenverwalteten symmetrischen KMS-Verschlüsselungsschlüssel in Ihrem Konto haben, erstellen Sie einen KMS-Schlüssel, indem Sie den Anweisungen unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch folgen.

  • Wenn Sie eine benutzerdefinierte CEV- oder RDS-DB-Instance erstellen und sich Ihr KMS-Schlüssel in einer anderen befindet AWS-Konto, stellen Sie sicher, dass Sie den AWS CLI verwenden. Sie können die AWS Konsole nicht mit kontoübergreifenden KMS-Schlüsseln verwenden.

Wichtig

RDS Custom unterstützt keine AWS verwalteten KMS-Schlüssel.

Stellen Sie sicher, dass Ihr symmetrischer Verschlüsselungsschlüssel Zugriff auf die kms:Decrypt und kms:GenerateDataKey -Operationen der AWS Identity and Access Management (IAM-) Rolle in Ihrem IAM-Instanzprofil gewährt. Wenn Sie einen neuen symmetrischen Verschlüsselungsschlüssel in Ihrem Konto haben, sind keine Änderungen erforderlich. Stellen Sie andernfalls sicher, dass die Richtlinie Ihres symmetrischen Verschlüsselungsschlüssels Zugriff auf diese Operationen erteilt.

Weitere Informationen finden Sie unter Schritt 4: Konfigurieren Sie IAM für RDS Custom für Oracle.

Weitere Informationen zum Konfigurieren von IAM für RDS Custom for Oracle finden Sie unter Schritt 4: Konfigurieren Sie IAM für RDS Custom für Oracle.

Schritt 2: Laden Sie das herunter und installieren Sie es AWS CLI

AWS bietet Ihnen eine Befehlszeilenschnittstelle zur Verwendung der benutzerdefinierten Funktionen von RDS. Sie können entweder Version 1 oder Version 2 des AWS CLI nutzen.

Informationen zum Herunterladen und Installieren von finden Sie unter Installation oder Aktualisierung der neuesten Version von. AWS CLI AWS CLI

Überspringen Sie diesen Schritt, wenn einer der folgenden Punkte zutrifft:

  • Sie planen, auf RDS Custom nur über den zuzugreifen AWS Management Console.

  • Sie haben die Engine AWS CLI für Amazon RDS oder eine andere RDS Custom DB-Engine bereits heruntergeladen.

Schritt 3: Extrahieren Sie die CloudFormation Vorlagen für RDS Custom for Oracle

Um die Einrichtung zu vereinfachen, empfehlen wir dringend, AWS CloudFormation Vorlagen zum Erstellen von CloudFormation Stacks zu verwenden. Wenn Sie planen, IAM und Ihre VPC manuell zu konfigurieren, überspringen Sie diesen Schritt.

Schritt 3a: Laden Sie die CloudFormation Vorlagendateien herunter

Eine CloudFormation Vorlage ist eine Deklaration der AWS Ressourcen, aus denen ein Stapel besteht. Die Vorlage wird als JSON-Datei gespeichert.

Um die CloudFormation Vorlagendateien herunterzuladen

  1. Öffnen Sie das Kontextmenü (Rechtsklick) für den Link ( custom-oracle-iam.zip) und wählen Sie Link speichern unter.

  2. Speichern Sie die Datei auf Ihrem Computer.

  3. Wiederholen Sie die vorherigen Schritte für den Link custom-vpc.zip.

    Wenn Sie Ihre VPC für RDS Custom bereits konfiguriert haben, überspringen Sie diesen Schritt.

Schritt 3b: .json extrahieren custom-oracle-iam

Öffnen Sie die custom-oracle-iam.zip Datei, die Sie heruntergeladen haben, und extrahieren Sie die Dateicustom-oracle-iam.json. Der Anfang der Datei sieht wie folgt aus.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "EncryptionKey": {
      "Type": "String",
      "Default": "*",
      "Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances."
    }
  },
  "Resources": {
    "RDSCustomInstanceServiceRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" },
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                "Service": "ec2.amazonaws.com"
              }
            }
          ]
        },...

Schritt 3c: Extrahieren Sie custom-vpc.json

Anmerkung

Wenn Sie bereits eine bestehende VPC für RDS Custom for Oracle konfiguriert haben, überspringen Sie diesen Schritt. Weitere Informationen finden Sie unter Konfigurieren Sie Ihre VPC manuell für RDS Custom for Oracle.

Öffnen Sie die custom-vpc.zip Datei, die Sie heruntergeladen haben, und extrahieren Sie die Datei dann. custom-vpc.json Der Anfang der Datei sieht wie folgt aus.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "PrivateVpc": {
      "Type": "AWS::EC2::VPC::Id",
      "Description": "Private VPC Id to use for RDS Custom DB Instances"
    },
    "PrivateSubnets": {
      "Type": "List<AWS::EC2::Subnet::Id>",
      "Description": "Private Subnets to use for RDS Custom DB Instances"
    },
    "RouteTable": {
      "Type": "String",
      "Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint",
      "AllowedPattern": "rtb-[0-9a-z]+"
    }
  },
  "Resources": {
    "DBSubnetGroup": {
      "Type": "AWS::RDS::DBSubnetGroup",
      "Properties": {
        "DBSubnetGroupName": "rds-custom-private",
        "DBSubnetGroupDescription": "RDS Custom Private Network",
        "SubnetIds": {
          "Ref": "PrivateSubnets"
        }
      }
    },...

Schritt 4: Konfigurieren Sie IAM für RDS Custom für Oracle

Sie verwenden eine IAM-Rolle oder einen IAM-Benutzer (als IAM-Entität bezeichnet), um eine DB-Instance von RDS Custom mit der Konsole oder der AWS CLI zu erstellen. Diese IAM-Entität muss über die erforderlichen Berechtigungen für die Instance-Erstellung verfügen.

Sie können IAM entweder mit CloudFormation oder mit manuellen Schritten konfigurieren.

Wichtig

Wir empfehlen dringend, dass Sie Ihre RDS-Umgebung Custom for Oracle mithilfe von AWS CloudFormation konfigurieren. Diese Methode ist am einfachsten und am wenigsten fehleranfällig.

Konfigurieren Sie IAM mit CloudFormation

Wenn Sie die CloudFormation Vorlage für IAM verwenden, werden die folgenden erforderlichen Ressourcen erstellt:

  • Ein Instanzprofil mit dem Namen AWSRDSCustomInstanceProfile-region

  • Eine Servicerolle mit dem Namen AWSRDSCustomInstanceRole-region

  • Eine Zugriffsrichtlinie mit dem NamenAWSRDSCustomIamRolePolicy, die der Servicerolle zugeordnet ist

Um IAM zu konfigurieren mit CloudFormation

  1. Öffnen Sie die CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Starten Sie den Create Stack-Assistenten und wählen Sie Create Stack (Stapel erstellen) aus.

  3. Gehen Sie auf der Seite Create stack (Stack erstellen) wie folgt vor:

    1. Wählen Sie unter Prepare template (Vorlage vorbereiten) den Wert Template is ready (Vorlage ist bereit) aus.

    2. Wählen Sie unter Templete source (Vorlagenquelle) den Wert Upload a template file (Vorlagendatei hochladen) aus.

    3. Navigieren Sie unter Datei auswählen zur Datei custom-oracle-iam.json und wählen Sie sie aus.

    4. Wählen Sie Weiter aus.

  4. Führen Sie auf der Seite Specify DB Details (Festlegen von DB-Detail) die folgenden Schritte aus:

    1. Geben Sie unter Stack name (Stack-Name) custom-oracle-iam ein.

    2. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Next (Weiter) aus.

  6. Gehen Sie auf der custom-oracle-iam Seite „Überprüfen“ wie folgt vor:

    1. Aktivieren Sie das Kontrollkästchen Ich bestätige, dass AWS CloudFormation ggf. IAM-Ressourcen mit benutzerdefinierten Namen erstellt.

    2. Wählen Sie Absenden aus.

    CloudFormation erstellt die IAM-Rollen, die RDS Custom for Oracle benötigt. Wenn custom-oracle-iam im linken Bereich CREATE_COMPLETE anzeigt, fahren Sie mit dem nächsten Schritt fort.

  7. Wählen Sie im linken Bereich custom-oracle-iam aus. Führen Sie im rechten Bereich die folgenden Schritte aus:

    1. Wählen Sie Stack-Info aus. Ihr Stack hat eine ID im Format arn:aws:cloudformation:region:account-no:stack/custom-oracle-iam/identifier.

    2. Wählen Sie Resources aus. Sie sollten Folgendes sehen:

      • Ein Instanzprofil mit dem Namen AWSRDSCustomInstanceProfile- Region

      • Eine Servicerolle mit dem Namen AWSRDSCustomInstanceRole— Region

      Wenn Sie Ihre RDS-Custom-DB-Instance erstellen, müssen Sie die Instance-Profil-ID angeben.

Manuelles Erstellen Ihrer IAM-Rolle und Ihres Instance-Profils

Die Konfiguration ist am einfachsten, wenn Sie verwenden CloudFormation. Sie können IAM jedoch auch manuell konfigurieren. Gehen Sie für die manuelle Einrichtung wie folgt vor:

Schritt 1: Erstellen Sie die IAM-Rolle für das AWSRDSCustomInstanceRoleForRdsCustomInstance

In diesem Schritt erstellen Sie die Rolle mithilfe des Namensformats AWSRDSCustomInstanceRole-region. Mithilfe der Vertrauensrichtlinie kann Amazon EC2 die Rolle annehmen. Im folgenden Beispiel wird davon ausgegangen, dass Sie die Umgebungsvariable $REGION auf die AWS-Region festgelegt haben, in der Sie Ihre DB-Instance erstellen möchten.

aws iam create-role \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Effect": "Allow",
          "Principal": {
              "Service": "ec2.amazonaws.com"
          }
        }
      ]
    }'

Schritt 2: Fügen Sie eine Zugriffsrichtlinie hinzu zu AWSRDSCustomInstanceRoleForRdsCustomInstance

Wenn Sie eine eingebundene Richtlinie in eine IAM-Rolle einbetten, wird die eingebundene Richtlinie als Teil der Rollezugriffsrichtlinie (Berechtigungsrichtlinie) verwendet. Sie erstellen die AWSRDSCustomIamRolePolicy-Richtlinie, die es Amazon EC2 erlaubt, Nachrichten zu senden und zu empfangen und verschiedene Aktionen auszuführen.

Im folgenden Beispiel wird die Zugriffsrichtlinie mit dem Namen AWSRDSCustomIamRolePolicy erstellt und fügt es der IAM-Rolle AWSRDSCustomInstanceRole-region hinzu. In diesem Beispiel wird davon ausgegangen, dass Sie die folgenden Umgebungsvariablen festgelegt haben:

$REGION

Setzen Sie diese Variable auf die Variable, AWS-Region in der Sie Ihre DB-Instance erstellen möchten.

$ACCOUNT_ID

Setzen Sie diese Variable auf Ihre AWS-Konto Nummer.

$KMS_KEY

Legen Sie diese Variable auf den Amazon-Ressourcennamen (ARN) des AWS KMS key fest, den Sie für Ihre DB-Instances von RDS Custom verwenden möchten. Um mehr als einen KMS-Schlüssel anzugeben, fügen Sie ihn demResourcesAbschnitt der Anweisungs-ID (Sid) 11.

aws iam put-role-policy \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --policy-name AWSRDSCustomIamRolePolicy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeAssociation",
                "ssm:GetDeployablePatchSnapshotForInstance",
                "ssm:GetDocument",
                "ssm:DescribeDocument",
                "ssm:GetManifest",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:ListAssociations",
                "ssm:ListInstanceAssociations",
                "ssm:PutInventory",
                "ssm:PutComplianceItems",
                "ssm:PutConfigurePackageResult",
                "ssm:UpdateAssociationStatus",
                "ssm:UpdateInstanceAssociationStatus",
                "ssm:UpdateInstanceInformation",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2messages:AcknowledgeMessage",
                "ec2messages:DeleteMessage",
                "ec2messages:FailMessage",
                "ec2messages:GetEndpoint",
                "ec2messages:GetMessages",
                "ec2messages:SendReply"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "logs:PutRetentionPolicy",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*"
            ]
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "s3:putObject",
                "s3:getObject",
                "s3:getObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::do-not-delete-rds-custom-*/*"
            ]
        },
        {
            "Sid": "5",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "RDSCustomForOracle/Agent"
                    ]
                }
            }
        },
        {
            "Sid": "6",
            "Effect": "Allow",
            "Action": [
                "events:PutEvents"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "7",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*"
            ]
        },
        {
           "Sid": "8",
           "Effect": "Allow",
           "Action": [
             "s3:ListBucketVersions"
           ],
           "Resource": [
             "arn:aws:s3:::do-not-delete-rds-custom-*"
           ]
         },
         {
            "Sid": "9",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSRDSCustom": "custom-oracle"
                }
            }
          },
          {
            "Sid": "10",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*"
            ]
          },
          {
            "Sid": "11",
            "Effect": "Allow",
            "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
            ],
            "Resource": [
              "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'"
            ]
          },
          {
            "Sid": "12",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:CreateAction": [
                        "CreateSnapshots"
                    ]
                }
            }
        }
    ]
}'

Schritt 3: Erstellen Sie das benutzerdefinierte RDS-Instanzprofil AWSRDSCustomInstanceProfile

Ein Instance-Profil ist ein Container, der eine einzelne IAM-Rolle enthält. RDS Custom verwendet das Instance-Profil, um die Rolle der Instance zu übergeben.

Wenn Sie zum Erstellen einer Rolle die CLI verwenden, erstellen Sie die Rolle und das Instance-Profil als separate Aktionen, deren Namen verschieden sein können. Erstellen Sie Ihr IAM-Instance-Profil wie folgt und verwenden Sie das Namensformat AWSRDSCustomInstanceProfile-region. Im folgenden Beispiel wird davon ausgegangen, dass Sie die Umgebungsvariable $REGION auf die Umgebungsvariable gesetzt haben, AWS-Region in der Sie Ihre DB-Instance erstellen möchten.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION

Schritt 4: Hinzufügen AWSRDSCustomInstanceRoleForRdsCustomInstance zu AWSRDSCustomInstanceProfile

Fügen Sie Ihre IAM-Rolle dem Instance-Profil hinzu, das Sie zuvor erstellt haben. Im folgenden Beispiel wird davon ausgegangen, dass Sie die Umgebungsvariable $REGION auf die Umgebungsvariable gesetzt haben, AWS-Region in der Sie Ihre DB-Instance erstellen möchten.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION \
    --role-name AWSRDSCustomInstanceRole-$REGION

Schritt 5: Erteilen Sie Ihrem IAM-Benutzer oder Ihrer IAM-Rolle die erforderlichen Berechtigungen

Stellen Sie sicher, dass der IAM-Prinzipal (Benutzer oder Rolle), der die benutzerdefinierte CEV- oder RDS-DB-Instance erstellt, über eine der folgenden Richtlinien verfügt:

  • Die Richtlinie AdministratorAccess

  • Die AmazonRDSFullAccess Richtlinie mit den erforderlichen Berechtigungen für Amazon S3 und AWS KMS CEV-Erstellung und DB-Instance-Erstellung

Erforderliche IAM-Berechtigungen für Amazon S3 und AWS KMS

Um CEVs oder RDS Custom für Oracle-DB-Instances zu erstellen, muss Ihr IAM-Principal auf Amazon S3 und zugreifen können. AWS KMS Die folgende Beispiel-JSON-Richtlinie gewährt die erforderlichen Berechtigungen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen zu kms:CreateGrant-Berechtigung finden Sie unter AWS KMS key-Verwaltung.

Erforderliche IAM-Berechtigungen zum Erstellen einer CEV

Um ein CEV zu erstellen, benötigt Ihr IAM-Principal die folgenden zusätzlichen Berechtigungen:

s3:GetObjectAcl
s3:GetObject
s3:GetObjectTagging
s3:ListBucket
mediaimport:CreateDatabaseBinarySnapshot

Die folgende JSON-Beispielrichtlinie gewährt die zusätzlichen Bereichtigungen, die für den Zugriff auf den Bucket my-custom-installation-files und seine Inhalte erforderlich sind.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessToS3MediaBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectAcl",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-custom-installation-files",
                "arn:aws:s3:::my-custom-installation-files/*"
            ]
        },
        {
            "Sid": "PermissionForByom",
            "Effect": "Allow",
            "Action": [
                "mediaimport:CreateDatabaseBinarySnapshot"
            ],
            "Resource": "*"
        }
    ]
}

Sie können den Konten von Anrufern ähnliche Berechtigungen für Amazon S3 mit einer S3-Bucket-Richtlinie erteilen.

Erforderliche IAM-Berechtigungen zum Erstellen einer DB-Instance aus einer CEV

Um eine RDS Custom for Oracle DB-Instance aus einem vorhandenen CEV zu erstellen, benötigt der IAM-Prinzipal die folgenden zusätzlichen Berechtigungen.

iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging

Die folgende JSON-Beispielrichtlinie gewährt die Berechtigungen, die für die Validierung einer IAM-Rolle und für die Protokollierung von Informationen in AWS CloudTrail erforderlich sind.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        }
    ]
}

Schritt 6: Konfigurieren Sie Ihre VPC für RDS Custom for Oracle

Ihre RDS-Custom-DB-Instance befindet sich in einer virtuellen privaten Cloud (VPC), die auf dem Amazon-VPC-Service basiert, genau wie eine Amazon-EC2-Instance oder eine Amazon-RDS-Instance. Sie stellen Ihre eigene VPC zur Verfügung und konfigurieren sie. Im Gegensatz zu RDS Custom für SQL Server erstellt RDS Custom für Oracle keine Zugriffssteuerungsliste oder Sicherheitsgruppen. Sie müssen Ihre eigenen Sicherheitsgruppen, Subnetze und Routing-Tabellen anfügen.

Sie können Ihre Virtual Private Cloud (VPC) entweder manuell CloudFormation oder manuell konfigurieren.

Wichtig

Wir empfehlen dringend, dass Sie Ihre RDS Custom for Oracle-Umgebung mithilfe von AWS CloudFormation konfigurieren. Diese Methode ist am einfachsten und am wenigsten fehleranfällig.

Konfigurieren Sie Ihre VPC mit CloudFormation (empfohlen)

Wenn Sie Ihre VPC bereits für eine andere RDS-Custom-Engine konfiguriert haben und die vorhandene VPC wiederverwenden möchten, überspringen Sie diesen Schritt. In dieser Abbildung wird von Folgendem ausgegangen:

  • Sie haben Ihr IAM-Instanzprofil und Ihre Rolle bereits erstellt. CloudFormation

  • Sie kennen die ID Ihrer Routing-Tabelle.

    Damit eine DB-Instance privat ist, muss sie sich in einem privaten Subnetz befinden. Damit ein Subnetz privat ist, darf es nicht einer Routing-Tabelle zugeordnet sein, die über ein Standard-Internet-Gateway verfügt. Weitere Informationen finden Sie unter Konfigurieren von Routing-Tabellen im Benutzerhandbuch zu Amazon VPC.

Wenn Sie die CloudFormation Vorlage für Ihre VPC verwenden, werden die folgenden Ressourcen erstellt:

  • Eine private VPC

  • Eine Subnetzgruppe mit dem Namen rds-custom-private

  • Die folgenden VPC-Endpunkte, die Ihre DB-Instance für die Kommunikation mit abhängigen Geräten verwendet: AWS-Services

    • com.amazonaws.region.ec2messages

    • com.amazonaws.region.events

    • com.amazonaws.region.logs

    • com.amazonaws.region.monitoring

    • com.amazonaws.region.s3

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.ssm

    • com.amazonaws.region.ssmmessages

    Anmerkung

    Für eine komplexe Netzwerkkonfiguration mit vorhandenen Konten empfehlen wir, den Zugriff auf abhängige Dienste manuell zu konfigurieren, falls der Zugriff noch nicht besteht. Weitere Informationen finden Sie unter Stellen Sie sicher, dass Ihre VPC auf abhängige zugreifen kann AWS-Services.

So konfigurieren Sie Ihre VPC mit CloudFormation

  1. Öffnen Sie die CloudFormation Konsole unter https://console.aws.amazon.com/cloudformation.

  2. Starten Sie den Assistenten zum Erstellen eines Stacks und wählen Sie Stack erstellen und dann Mit neuen Ressourcen (Standard) aus.

  3. Gehen Sie auf der Seite Create stack (Stack erstellen) wie folgt vor:

    1. Wählen Sie unter Prepare template (Vorlage vorbereiten) den Wert Template is ready (Vorlage ist bereit) aus.

    2. Wählen Sie unter Templete source (Vorlagenquelle) den Wert Upload a template file (Vorlagendatei hochladen) aus.

    3. Für Datei auswählen, navigieren Sie dahin und wählen custom-vpc.json aus.

    4. Wählen Sie Weiter aus.

  4. Führen Sie auf der Seite Specify DB Details (Festlegen von DB-Detail) die folgenden Schritte aus:

    1. Geben Sie unter Stack name (Stack-Name) custom-vpc ein.

    2. Für Parameter wählen Sie die privaten Subnetze aus, die für RDS Custom DB-Instances verwendet werden sollen.

    3. Wählen Sie die private VPC-ID aus, die für RDS Custom DB-Instances verwendet werden soll.

    4. Die Haupt-Routing-Tabelle, die dem privaten Subnetz zugeordnet ist.

    5. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Next (Weiter) aus.

  6. Klicken Sie auf der Seite custom-vpc überprüfen auf Absenden.

    CloudFormation konfiguriert Ihre private VPC. Wenn custom-vpc im linken Bereich CREATE_COMPLETE anzeigt, fahren Sie mit dem nächsten Schritt fort.

  7. (Optional) Überprüfen Sie die Details Ihrer VPC. Wählen Sie im Bereich Stacks die Option custom-vpc aus. Führen Sie im rechten Bereich die folgenden Schritte aus:

    1. Wählen Sie Stack-Info aus. Ihr Stack hat eine ID im Format arn:aws:cloudformation:region:account-no:stack/custom-vpc/identifier.

    2. Wählen Sie Resources aus. Sie sollten eine Subnetzgruppe mit dem Namen rds-custom-private und mehrere VPC-Endpunkte sehen, die das Benennungsformat vpce-string verwenden. Jeder Endpunkt entspricht einem AWS-Service , mit dem RDS Custom kommunizieren muss. Weitere Informationen finden Sie unter Stellen Sie sicher, dass Ihre VPC auf abhängige zugreifen kann AWS-Services.

    3. Wählen Sie Parameter aus. Sie sollten die privaten Subnetze, die private VPC und die Routing-Tabelle sehen, die Sie bei der Erstellung des Stacks angegeben haben. Wenn Sie eine DB-Instance erstellen, müssen Sie die VPC-ID und die Subnetzgruppe angeben.

Konfigurieren Sie Ihre VPC manuell für RDS Custom for Oracle

Als Alternative zur Automatisierung der VPC-Erstellung mit AWS CloudFormation können Sie Ihre VPC manuell konfigurieren. Diese Option eignet sich möglicherweise am besten, wenn Sie über ein komplexes Netzwerk-Setup verfügen, das vorhandene Ressourcen nutzt.

Stellen Sie sicher, dass Ihre VPC auf abhängige zugreifen kann AWS-Services

RDS Custom sendet Kommunikation von Ihrer DB-Instance an andere AWS-Services. Stellen Sie sicher, dass von dem Subnetz aus, in dem Sie Ihre benutzerdefinierten RDS-DB-Instances erstellen, auf die folgenden Dienste zugegriffen werden kann:

  • Amazon CloudWatch

  • CloudWatch Amazon-Protokolle

  • CloudWatch Amazon-Veranstaltungen

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Wenn Sie Multi-AZ-Bereitstellungen erstellen

  • Amazon Simple Queue Service

Wenn RDS Custom nicht mit den erforderlichen Diensten kommunizieren kann, werden die folgenden Ereignisse veröffentlicht:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Um incompatible-network Fehler zu vermeiden, stellen Sie sicher, dass die VPC-Komponenten, die an der Kommunikation zwischen Ihrer RDS Custom DB-Instance beteiligt sind, die folgenden Anforderungen AWS-Services erfüllen:

  • Die DB-Instance kann ausgehende Verbindungen an Port 443 mit anderen AWS-Services herstellen.

  • Die VPC lässt eingehende Antworten auf Anfragen zu, die von Ihrer DB-Instance von RDS Custom stammen.

  • RDS Custom kann die Domain-Namen von Endpunkten für jeden AWS-Service korrekt auflösen.

Wenn Sie eine VPC bereits für eine andere DB-Engine von RDS Custom konfiguriert haben, können Sie diese VPC wiederverwenden und diesen Prozess überspringen.

Konfigurieren des Instance-Metadaten-Service

Stellen Sie folgendermaßen sicher, dass die EC2-Instance eine Verbindung zu herstellen kann:

  • Er greift auf Instance-Metadaten mithilfe von Version 2 des Instance Metadata Service (IMDSv1) zu.

  • Lassen Sie ausgehende Kommunikation über Port 80 (HTTP) zur IMDS-Link-IP-Adresse zu.

  • Fordern Sie Instance-Metadaten von http://169.254.169.254, der IMDSv2-Link.

Weitere Informationen finden Sie unter Verwenden von IMDSv2 im Amazon EC2 EC2-Benutzerhandbuch.

RDS Custom for Oracle Automation verwendet standardmäßig IMDSv2, indem esHttpTokens=enabledauf der zugrundeliegenden Amazon EC2-Instance Sie können jedoch IMDSv1 verwenden, wenn Sie möchten. Weitere Informationen finden Sie unter Konfiguration der Instance-Metadatenoptionen im Amazon EC2 EC2-Benutzerhandbuch.