Configuración del entorno para Amazon Aurora - Amazon Aurora

Configuración del entorno para Amazon Aurora

Antes de usar Amazon Aurora por primera vez, realice las siguientes tareas.

Si ya tiene una Cuenta de AWS, conoce los requisitos de Aurora y prefiere usar los valores predeterminados para los grupos de seguridad de IAM y VPC, vaya directo a Introducción a Amazon Aurora.

Registro en una Cuenta de AWS

Si no dispone de una Cuenta de AWS, siga estos pasos para crear una.

Procedimiento para registrarse en Cuenta de AWS
  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga las instrucciones que se le indiquen.

    Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

    Al registrarse en una Cuenta de AWS, se crea un Usuario raíz de la cuenta de AWS. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar tareas que requieren acceso de usuario raíz.

AWS le enviará un email de confirmación cuando complete el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando Mi cuenta.

Creación de un usuario con acceso administrativo

Después de registrarse para obtener una Cuenta de AWS, proteja su Usuario raíz de la cuenta de AWS, habilite AWS IAM Identity Center y cree un usuario administrativo para no utilizar el usuario raíz en las tareas cotidianas.

Protección de Usuario raíz de la cuenta de AWS
  1. Inicie sesión en AWS Management Console como propietario de la cuenta; para ello, elija Usuario raíz e introduzca el correo electrónico de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

    Para obtener ayuda para iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In.

  2. Active la autenticación multifactor (MFA) para el usuario raíz.

    Para obtener instrucciones, consulte Habilitación de un dispositivo MFA virtual para su usuario raíz de la Cuenta de AWS (consola) en la Guía del usuario de IAM.

Creación de un usuario con acceso administrativo
  1. Activar IAM Identity Center.

    Consulte las instrucciones en Activar AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center.

  2. En IAM Identity Center, conceda acceso administrativo a un usuario.

    Para ver un tutorial sobre cómo utilizar Directorio de IAM Identity Center como origen de identidad, consulte Configuración del acceso de los usuarios con el Directorio de IAM Identity Center predeterminado en la Guía del usuario de AWS IAM Identity Center.

Iniciar sesión como usuario con acceso de administrador
  • Para iniciar sesión con el usuario de IAM Identity Center, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

    Para obtener ayuda para iniciar sesión con un usuario del IAM Identity Center, consulte Inicio de sesión en el portal de acceso de AWS en la Guía del usuario de AWS Sign-In.

Concesión de acceso a usuarios adicionales
  1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

    Para conocer las instrucciones, consulte Create a permission set en la Guía del usuario de AWS IAM Identity Center.

  2. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

    Para conocer las instrucciones, consulte Add groups en la Guía del usuario de AWS IAM Identity Center.

Conceder acceso programático

Los usuarios necesitan acceso programático si desean interactuar con AWS fuera de la AWS Management Console. La forma de conceder el acceso programático depende del tipo de usuario que acceda a AWS.

Para conceder acceso programático a los usuarios, seleccione una de las siguientes opciones.

¿Qué usuario necesita acceso programático? Para Mediante

Identidad del personal

(Usuarios administrados en el IAM Identity Center)

Utilice credenciales temporales para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK y las API de AWS.

Siga las instrucciones de la interfaz que desea utilizar:

IAM Utilice credenciales temporales para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK y las API de AWS. Siguiendo las instrucciones de Uso de credenciales temporales con recursos de AWS de la Guía del usuario de IAM.
IAM

(No recomendado)

Utilizar credenciales a largo plazo para firmar las solicitudes programáticas a la AWS CLI, los AWS SDK o las API de AWS.

Siga las instrucciones de la interfaz que desea utilizar:

Determinar las necesidades

El componente básico de Aurora es el clúster de base de datos. Una o más instancias de base de datos pueden pertenecer a un clúster de base de datos. Un clúster de base de datos proporciona una dirección de red llamada punto de enlace del clúster. Sus aplicaciones se conectan al punto de enlace del clúster expuesto por el clúster de base de datos siempre que necesitan acceso a las bases de datos creadas en ese clúster de base de datos. La información especificada al crear el clúster de base de datos controla elementos de configuración como la memoria, el motor de base de datos y la versión, la configuración de red, la seguridad y los periodos de mantenimiento.

Antes de crear un clúster de base de datos y un grupo de seguridad, debe conocer los requisitos de red y de clúster de la base de datos. Aquí se indican algunos aspectos importantes que se deben tener en cuenta:

  • Requisitos de recursos: ¿cuáles son los requisitos de memoria y de procesador para su aplicación o su servicio? Usará esta configuración cuando determine la clase de instancia de base de datos que se usará al crear el clúster de base de datos. Para conocer las especificaciones de las clases de instancia de base de datos, consulte Clases de instancia de base de datos de Amazon Aurora.

  • VPC, subred y grupo de seguridad–: el clúster de base de datos estará en una nube virtual privada (VPC). Debe configurar reglas de grupo de seguridad para conectarse a un clúster de base de datos. En la siguiente lista se describen las reglas de cada opción de VPC:

    • VPC predeterminada: si su cuenta de AWS tiene una VPC predeterminada en la región de AWS, esa VPC se configura de modo que sea compatible con los clústeres de base de datos. Si especifica la VPC predeterminada al crear el clúster de base de datos:

      • Asegúrese de crear un grupo de seguridad de VPC que autorice las conexiones entre la aplicación o el servicio y el clúster de base de datos de Aurora. Use la opción Security Group (Grupo de seguridad) de la consola de VPC o la AWS CLI para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 3: Crear un grupo de seguridad de VPC.

      • Debe especificar el grupo de subredes de base de datos predeterminado. Si este es el primer clúster de base de datos que ha creado en la región de AWS, Amazon RDS creará el grupo de subredes de base de datos predeterminado cuando cree el clúster de base de datos.

    • VPC definida por el usuario: si desea especificar una VPC definida por el usuario al crear un clúster de base de datos:

      • Asegúrese de crear un grupo de seguridad de VPC que autorice las conexiones entre la aplicación o el servicio y el clúster de base de datos de Aurora. Use la opción Security Group (Grupo de seguridad) de la consola de VPC o la AWS CLI para crear grupos de seguridad de VPC. Para obtener información, consulte Paso 3: Crear un grupo de seguridad de VPC.

      • La VPC debe cumplir algunos requisitos para alojar los clústeres de base de datos, como tener al menos dos subredes, cada una en una zona de disponibilidad diferente. Para obtener información, consulte VPC de Amazon y Amazon Aurora.

      • Debe especificar un grupo de subredes de base de datos que defina qué subredes de esa VPC puede usar el clúster de base de datos. Para obtener información, consulte la sección DB Subnet Group de Uso de una clúster de base de datos en una VPC.

  • Alta disponibilidad: ¿necesita compatibilidad con conmutación por error? En Aurora, una implementación Multi-AZ crea una instancia primaria y réplicas de Aurora. Puede configurar la instancia primaria y las réplicas de Aurora para que estén en zonas de disponibilidad diferentes para permitir la conmutación por error. Es recomendable usar implementaciones Multi-AZ para las cargas de trabajo de producción con el objeto de mantener una alta disponibilidad. Para fines de desarrollo y de pruebas, puede utilizar una implementación no Multi-AZ. Para obtener más información, consulte Alta disponibilidad para Amazon Aurora.

  • Políticas de IAM: ¿Tiene la cuenta de AWS políticas que conceden los permisos necesarios para realizar operaciones de Amazon RDS? Si se conecta a AWS con credenciales de IAM, la cuenta de IAM debe tener políticas de IAM que concedan los permisos necesarios para realizar operaciones de Amazon RDS. Para obtener más información, consulte Administración de la identidad y el acceso en Amazon Aurora.

  • Puertos abiertos: ¿con qué puerto TCP o IP se comunicará la base de datos? Los firewalls de algunas compañías podrían bloquear las conexiones al puerto predeterminado para el motor de base de datos. Si el firewall de su compañía bloquea el puerto predeterminado, elija otro puerto para el nuevo clúster de base de datos. Una vez que cree un clúster de base de datos que escuche en un puerto especificado, puede cambiar el puerto modificando el clúster de base de datos.

  • Región de AWS: ¿en qué región de AWS desea que esté la base de datos? Tener la base de datos cerca de la aplicación o el servicio web podría reducir la latencia de la red. Para obtener más información, consulte Regiones y zonas de disponibilidad.

Una vez que tenga la información que necesita para crear el grupo de seguridad y el clúster de base de datos, vaya al siguiente paso.

Proporcionar acceso al clúster de base de datos en la VPC mediante la creación de un grupo de seguridad

El clúster de base de datos se creará en una VPC. Los grupos de seguridad proporcionan acceso al clúster de base de datos en la VPC. Actúan como firewall para el clúster de base de datos asociado y controlan el tráfico entrante y saliente en el nivel del clúster. Por ejemplo, los clústeres de base de datos se crean de manera predeterminada con un firewall y un grupo de seguridad predeterminado que impide el acceso al clúster de base de datos. Por tanto, debe agregar reglas a un grupo de seguridad que le permita conectarse al clúster de base de datos. Use la información de red y de configuración que determinó en el paso anterior para crear reglas que permitan el acceso al clúster de base de datos.

Por ejemplo, si tiene una aplicación que accederá a una base de datos del clúster de base de datos en una VPC, debe agregar una regla de TCP personalizada que especifique el rango de puertos y direcciones IP que la aplicación usará para acceder a la base de datos. Si tiene una aplicación en una instancia de Amazon EC2, puede usar el grupo de seguridad de VPC que configuró para la instancia de Amazon EC2.

Puede configurar la conectividad entre una instancia de Amazon EC2 y el nuevo clúster de base de datos durante la creación del clúster de base de datos. Para obtener más información, consulte Configurar la conectividad de red automática con una instancia de EC2.

sugerencia

Puede configurar la conectividad de red entre una instancia de Amazon EC2 y un clúster de base de datos automáticamente al crear el clúster de base de datos. Para obtener más información, consulte Configurar la conectividad de red automática con una instancia de EC2.

Para obtener más información sobre cómo crear una VPC a fin de usarla con Aurora, consult Tutorial: Creación de una VPC para utilizarla con un clúster de base de datos (solo IPv4). Para obtener información sobre situaciones comunes del acceso a una instancia de base de datos, consulte Escenarios de acceso a un clúster de base de datos en una VPC.

Para crear un grupo de seguridad de VPC
  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

    nota

    Asegúrese de estar en la consola de VPC, no en la consola de RDS.

  2. En la esquina superior derecha de la AWS Management Console, elija la región de AWS en la que desea crear el grupo de seguridad de VPC y el clúster de base de datos. En la lista de recursos de Amazon VPC para esa región de AWS, debería ver, al menos, una VPC y varias subredes. Si no es así, no tiene una VPC predeterminada en esa AWS región.

  3. En el panel de navegación, elija Security Groups.

  4. Seleccione Crear grupo de seguridad.

    Aparece la página Create security group (Crear grupo de seguridad).

  5. En Basic details (Detalles básicos), ingrese el Security group name (Nombre del grupo de seguridad) y la Description (Descripción). En VPC, elija la VPC en la que desea crear el clúster de base de datos.

  6. En Inbound rules (Reglas de entrada), elija Add rule (Agregar regla).

    1. En Type (Tipo), elija Custom TCP (TCP personalizada).

    2. En Port range (Rango de puertos), ingrese el valor de puerto que se usará en el clúster de base de datos.

    3. En Source (Fuente), elija un nombre de grupo de seguridad o escriba el rango de direcciones IP (valor de CIDR) desde el que accederá al clúster de base de datos. Si elige My IP (Mi IP), esto permite el acceso al clúster de base de datos desde la dirección IP detectada en el navegador.

  7. Si necesita agregar más direcciones IP o distintos rangos de puertos, elija Add rule (Agregar regla) e ingrese la información de la regla.

  8. (Opcional) En Outbound rules (Reglas de salida), agregue reglas para el tráfico saliente. De forma predeterminada, se permite todo el tráfico de salida.

  9. Elija Create Security Group (Crear grupo de seguridad).

Puede usar el grupo de seguridad de VPC que acaba de crear como grupo de seguridad del clúster de base de datos cuando lo cree.

nota

Si se usa una VPC predeterminada, se crea un grupo de subredes predeterminado que abarca todas las subredes de la VPC. Al crear un clúster de base de datos, puede seleccionar la VPC predeterminada y usar default (valor predeterminado) para DB Subnet Group (Grupo de subred de base de datos).

Una vez que haya completado los requisitos de configuración, puede crear un clúster de base de datos mediante los requisitos y el grupo de seguridad según las instrucciones de Creación de un clúster de base de datos de Amazon Aurora. Para obtener información sobre cómo comenzar a crear un clúster de base de datos que usa un motor de base de datos específico, consulte Introducción a Amazon Aurora.