Paso 1: crear o reutilizar una clave AWS KMS de cifrado simétrica Paso 2: descargar e instalar la AWS CLI Paso 3: extraer las plantillas de CloudFormation para RDS Custom for Oracle Paso 4: configurar IAM para RDS Custom for Oracle Paso 5: otorgar los permisos necesarios al rol o usuario de IAM Paso 6: configurar la VPC para RDS Custom for Oracle

Configuración del entorno para Amazon RDS Custom for Oracle

Antes de crear una instancia de base de datos de Amazon RDS Custom para Oracle, realice las siguientes tareas.

Temas

Paso 1: crear o reutilizar una clave AWS KMS de cifrado simétrica
Paso 2: descargar e instalar la AWS CLI
Paso 3: extraer las plantillas de CloudFormation para RDS Custom for Oracle
Paso 4: configurar IAM para RDS Custom for Oracle
Paso 5: otorgar los permisos necesarios al rol o usuario de IAM
Paso 6: configurar la VPC para RDS Custom for Oracle

Paso 1: crear o reutilizar una clave AWS KMS de cifrado simétrica

Las claves administradas por el cliente son AWS KMS keys en su cuenta de AWS que usted ha creado, posee y administra. Se requiere una clave KMS de cifrado simétrica administrada por el cliente para RDS Custom. Al crear una instancia de base de datos de RDS Custom for Oracle, debe proporcionar el identificador de clave KMS. Para obtener más información, consulte Configuración de una instancia de base de datos para Amazon RDS Custom para Oracle.

Dispone de las opciones siguientes:

Si ya dispone de una clave KMS administrada por el cliente en su Cuenta de AWS, puede utilizarla con RDS Custom. No hay que hacer nada más.
Si ya ha creado una clave KMS de cifrado simétrica administrada por el cliente para un motor diferente de RDS Custom, puede reutilizar la misma clave. No hay que hacer nada más.
Si no tiene una clave KMS de cifrado simétrica administrada por el cliente en su cuenta, cree una clave KMS mediante las instrucciones de Creating keys (Creación de claves) en la Guía para desarrolladores de AWS Key Management Service.
Si va a crear una instancia de base de datos de CEV o RDS Custom y su clave de KMS está en una Cuenta de AWS diferente, asegúrese de utilizar la AWS CLI. No puede usar la consola de AWScon claves de KMS entre cuentas.

importante

RDS Custom no admite claves KMS administradas por AWS.

Asegúrese de que su clave de cifrado simétrica proporcione acceso a las operaciones kms:Decrypt y kms:GenerateDataKey al rol de IAM AWS Identity and Access Management en su perfil de instancia de IAM. Si tiene una nueva clave de cifrado simétrica en su cuenta, no se requieren cambios. De lo contrario, asegúrese de que la política de claves de cifrado simétricas proporcione acceso a estas operaciones.

Para obtener más información, consulte Paso 4: configurar IAM para RDS Custom for Oracle.

Para obtener más información sobre la configuración de IAM para RDS Custom para Oracle, consulte Paso 4: configurar IAM para RDS Custom for Oracle.

Paso 2: descargar e instalar la AWS CLI

AWS le proporciona una interfaz de línea de comandos para utilizar las funciones de RDS Custom. Puede utilizar la versión 1 o la versión 2 de la AWS CLI.

Para obtener información acerca de cómo descargar e instalar la AWS CLI, consulte Instalación o actualización de la versión más reciente de AWS CLI.

Omita este paso si se da alguna de estas condiciones:

Si tiene pensado acceder a RDS Custom solo desde la AWS Management Console.
Si ya ha descargado la AWS CLI para Amazon RDS o un motor de base de datos RDS Custom diferente.

Paso 3: extraer las plantillas de CloudFormation para RDS Custom for Oracle

Para simplificar la configuración, le recomendamos encarecidamente que utilice plantillas de AWS CloudFormation para crear pilas de CloudFormation. Si planea configurar IAM y la VPC de forma manual, omita este paso.

Temas

Paso 3a: descargar los archivos de plantilla de CloudFormation
Paso 3b: extraer custom-oracle-iam.json
Paso 3c: extraer custom-vpc.json

Paso 3a: descargar los archivos de plantilla de CloudFormation

Una plantilla de CloudFormation es una declaración de los recursos de AWS que componen una pila. La plantilla se almacena como un archivo JSON.

Para descargar los archivos de plantilla de CloudFormation

Abra el menú contextual (haga clic con el botón derecho del ratón) del enlace custom-oracle-iam.zip y elija Save Link As (Guardar enlace como).
Guarde el archivo en su computadora.
Repita los pasos anteriores para el enlace custom-vpc.zip.

Si ya ha configurado la VPC para RDS Custom, omita este paso.

Paso 3b: extraer custom-oracle-iam.json

Abre el archivo custom-oracle-iam.zip que ha descargado y, a continuación, extraiga el archivo custom-oracle-iam.json. El principio del archivo tiene el siguiente aspecto.


{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "EncryptionKey": {
      "Type": "String",
      "Default": "*",
      "Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances."
    }
  },
  "Resources": {
    "RDSCustomInstanceServiceRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" },
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                "Service": "ec2.amazonaws.com"
              }
            }
          ]
        },...

Paso 3c: extraer custom-vpc.json

nota

Si ya ha configurado una VPC existente para RDS Custom for Oracle, omita este paso. Para obtener más información, consulte Configurar la VPC manualmente para RDS Custom for Oracle.

Abra el archivo custom-vpc.zip que descargó y, a continuación, extraiga el archivo custom-vpc.json. El principio del archivo tiene el siguiente aspecto.


{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "PrivateVpc": {
      "Type": "AWS::EC2::VPC::Id",
      "Description": "Private VPC Id to use for RDS Custom DB Instances"
    },
    "PrivateSubnets": {
      "Type": "List<AWS::EC2::Subnet::Id>",
      "Description": "Private Subnets to use for RDS Custom DB Instances"
    },
    "RouteTable": {
      "Type": "String",
      "Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint",
      "AllowedPattern": "rtb-[0-9a-z]+"
    }
  },
  "Resources": {
    "DBSubnetGroup": {
      "Type": "AWS::RDS::DBSubnetGroup",
      "Properties": {
        "DBSubnetGroupName": "rds-custom-private",
        "DBSubnetGroupDescription": "RDS Custom Private Network",
        "SubnetIds": {
          "Ref": "PrivateSubnets"
        }
      }
    },...

Paso 4: configurar IAM para RDS Custom for Oracle

Debe utilizar un rol de IAM o un usuario de IAM (denominado entidad de IAM) para crear una instancia de base de datos de RDS Custom mediante la consola o la AWS CLI. Esta entidad de IAM debe tener los permisos necesarios para crear instancias.

Puede configurar IAM mediante CloudFormation o con pasos manuales.

importante

Se recomienda encarecidamente que configure el entorno de RDS Custom para Oracle mediante AWS CloudFormation. Esta técnica es la más sencilla y la menos propensa a errores.

Temas

Configurar IAM mediante CloudFormation
Cree manualmente el rol de IAM y el perfil de instancias

Configurar IAM mediante CloudFormation

Cuando utiliza la plantilla de CloudFormation para IAM, se crean los siguientes recursos necesarios:

Un perfil de instancia llamado AWSRDSCustomInstanceProfile-region
Un rol de servicio denominado AWSRDSCustomInstanceRole-region
Una política de acceso denominada AWSRDSCustomIamRolePolicy que está asociada al rol de servicio

Para configurar IAM mediante CloudFormation

Abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation.
Inicie el Asistente de creación de pila y elija Create Stack (Crear pila).
En la página Create stack (Crear pila), proceda del modo siguiente:
1. En Prepare template (Preparar plantilla), elija Template is ready (La plantilla está lista).
2. Para Origen de plantilla, elija Cargar un archivo de plantilla.
3. En Elegir archivo, vaya hasta custom-oracle-iam.json y, a continuación, selecciónelo.
4. Elija Siguiente.
En la página Specify stack Details (Especificar detalles de pila), haga lo siguiente:
1. En Stack name (Nombre de pila), ingrese custom-oracle-iam.
2. Elija Siguiente.
En página Configure stack options (Configurar opciones de pila), elija Next (Siguiente).
En la página Review custom-oracle-iam (Revisar custom-oracle-iam), haga lo siguiente:
1. Seleccione la casilla de verificación I acknowledge that AWS CloudFormation might create IAM resources with custom names (Reconozco que AWS CloudFormation podría crear recursos de IAM con nombres personalizados).
2. Seleccione Submit (Enviar).
CloudFormation crea los Roles de IAM que requiere RDS Custom for Oracle. En el panel de la izquierda, cuando custom-oracle-iam indique CREATE_COMPLETE, continúe con el paso siguiente.
En el panel izquierdo, elija custom-oracle-iam. En el panel de la derecha, haga lo siguiente:
1. Elija Información de la pila. Su pila tiene un ID con el formato arn:aws:cloudformation:region:account-no:stack/custom-oracle-iam/identifier.
2. Seleccione Recursos. Debería ver lo siguiente:
  - Un perfil de instancia denominado AWSRDSCustomInstanceProfile-region
  - Un rol de servicio denominado AWSRDSCustomInstanceRole-region
  Al crear la instancia de base de datos de RDS Custom, tiene que proporcionar el ID del perfil de instancia.

Cree manualmente el rol de IAM y el perfil de instancias

La configuración es más sencilla cuando se utiliza CloudFormation. Sin embargo, también puede configurar IAM de forma manual. Para la configuración manual, haga lo siguiente:

Paso 1: crear el rol de IAM AWSRDSCustomInstanceRoleForRdsCustomInstance.
Paso 2: añadir una política de acceso a AWSRDSCustomInstanceRoleForRdsCustomInstance.
Paso 2: añadir una política de acceso a AWSRDSCustomInstanceRoleForRdsCustomInstance.
Paso 4: agregar AWSRDSCustomInstanceRoleForRdsCustomInstance a AWSRDSCustomInstanceProfile.

Paso 1: crear el rol de IAM AWSRDSCustomInstanceRoleForRdsCustomInstance

En este paso, se crea el rol con el formato de nomenclatura AWSRDSCustomInstanceRole-region. Mediante la política de confianza, Amazon EC2 puede asumir el rol. En el ejemplo siguiente, se supone que ha establecido la variable de entorno $REGION en la Región de AWS en la que desea crear la instancia de base de datos.


aws iam create-role \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Effect": "Allow",
          "Principal": {
              "Service": "ec2.amazonaws.com"
          }
        }
      ]
    }'

Paso 2: añadir una política de acceso a AWSRDSCustomInstanceRoleForRdsCustomInstance

Al integrar una política en línea en un Rol de IAM, la política en línea se utiliza como parte de la política de acceso del rol (permisos). Usted crea la política AWSRDSCustomIamRolePolicy que permite a Amazon EC2 enviar y recibir mensajes y realizar diversas acciones.

En el siguiente ejemplo, se crea la política de acceso denominada AWSRDSCustomIamRolePolicy, y lo agrega al Rol de IAM AWSRDSCustomInstanceRole-region. En este ejemplo, se presupone que ha establecido las variables de entorno siguientes:

$REGION: Defina esta variable en la Región de AWS en la que tiene pensado crear la instancia de base de datos.
$ACCOUNT_ID: Defina esta variable en su número de Cuenta de AWS.
$KMS_KEY: Defina esta variable en el Nombre de recurso de Amazon (ARN) de la AWS KMS key que desea utilizar para las instancias de base de datos de RDS Custom. Para especificar más de una clave KMS, agréguela a la sección Resources del estado de cuenta ID (Sid) 11.


aws iam put-role-policy \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --policy-name AWSRDSCustomIamRolePolicy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeAssociation",
                "ssm:GetDeployablePatchSnapshotForInstance",
                "ssm:GetDocument",
                "ssm:DescribeDocument",
                "ssm:GetManifest",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:ListAssociations",
                "ssm:ListInstanceAssociations",
                "ssm:PutInventory",
                "ssm:PutComplianceItems",
                "ssm:PutConfigurePackageResult",
                "ssm:UpdateAssociationStatus",
                "ssm:UpdateInstanceAssociationStatus",
                "ssm:UpdateInstanceInformation",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2messages:AcknowledgeMessage",
                "ec2messages:DeleteMessage",
                "ec2messages:FailMessage",
                "ec2messages:GetEndpoint",
                "ec2messages:GetMessages",
                "ec2messages:SendReply"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "logs:PutRetentionPolicy",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*"
            ]
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "s3:putObject",
                "s3:getObject",
                "s3:getObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::do-not-delete-rds-custom-*/*"
            ]
        },
        {
            "Sid": "5",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "RDSCustomForOracle/Agent"
                    ]
                }
            }
        },
        {
            "Sid": "6",
            "Effect": "Allow",
            "Action": [
                "events:PutEvents"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "7",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*"
            ]
        },
        {
           "Sid": "8",
           "Effect": "Allow",
           "Action": [
             "s3:ListBucketVersions"
           ],
           "Resource": [
             "arn:aws:s3:::do-not-delete-rds-custom-*"
           ]
         },
         {
            "Sid": "9",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSRDSCustom": "custom-oracle"
                }
            }
          },
          {
            "Sid": "10",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*"
            ]
          },
          {
            "Sid": "11",
            "Effect": "Allow",
            "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
            ],
            "Resource": [
              "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'"
            ]
          },
          {
            "Sid": "12",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:CreateAction": [
                        "CreateSnapshots"
                    ]
                }
            }
        }
    ]
}'

Paso 3: crear el perfil de instancia de RDS Custom AWSRDSCustomInstanceProfile

Un perfil de instancia es un contenedor que incluye un rol de IAM único. RDS Custom usa el perfil de instancia para pasar el rol a la instancia.

Si utiliza la CLI para crear un rol, debe crear el rol y el perfil de instancia de forma independiente, con nombres potencialmente diferentes. Cree su perfil de instancia de IAM de la siguiente manera y utilice el formato AWSRDSCustomInstanceProfile-region para el nombre. En el ejemplo siguiente, se supone que ha establecido la variable de entorno $REGION en la Región de AWS en la que desea crear la instancia de base de datos.


aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION

Paso 4: agregar AWSRDSCustomInstanceRoleForRdsCustomInstance a AWSRDSCustomInstanceProfile

Añada el rol de IAM al perfil de instancia que ha creado anteriormente. En el ejemplo siguiente, se supone que ha establecido la variable de entorno $REGION en la Región de AWS en la que desea crear la instancia de base de datos.


aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION \
    --role-name AWSRDSCustomInstanceRole-$REGION

Paso 5: otorgar los permisos necesarios al rol o usuario de IAM

Asegúrese de que la entidad principal de IAM (usuario o rol) que crea la instancia de base de datos de RDS Custom o CEV tenga una de las siguientes políticas:

La política AdministratorAccess
La política AmazonRDSFullAccess con permisos necesarios para Amazon S3 y AWS KMS, creación de CEV y creación de instancias de base de datos

Temas

Permisos de IAM necesarios para Amazon S3 y AWS KMS
Permisos de IAM necesarios para crear una CEV
Permisos de IAM necesarios para crear una instancia de base de datos desde una CEV

Permisos de IAM necesarios para Amazon S3 y AWS KMS

Para crear una CEV o instancias de base de datos de RDS Custom for Oracle, su entidad principal de IAM necesita acceder a Amazon S3 y AWS KMS. La siguiente política de JSON de muestra otorga los permisos necesarios.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información acerca del permiso de kms:CreateGrant, consulte Administración de AWS KMS key.

Permisos de IAM necesarios para crear una CEV

Para crear una CEV, su entidad principal de IAM necesita los siguientes permisos adicionales:


s3:GetObjectAcl
s3:GetObject
s3:GetObjectTagging
s3:ListBucket
mediaimport:CreateDatabaseBinarySnapshot

La siguiente política de JSON de ejemplo otorga permisos adicionales para acceder al bucket my-custom-installation-files y su contenido.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessToS3MediaBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectAcl",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-custom-installation-files",
                "arn:aws:s3:::my-custom-installation-files/*"
            ]
        },
        {
            "Sid": "PermissionForByom",
            "Effect": "Allow",
            "Action": [
                "mediaimport:CreateDatabaseBinarySnapshot"
            ],
            "Resource": "*"
        }
    ]
}

También puede conceder permisos similares para Amazon S3 a las cuentas del autor de la llamada mediante una política de bucket de S3.

Permisos de IAM necesarios para crear una instancia de base de datos desde una CEV

Para crear una instancia de base de datos de RDS Custom para Oracle desde una CEV existente, la entidad principal de IAM necesita los siguientes permisos adicionales.


iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging

La siguiente política de JSON de ejemplo otorga los permisos necesarios para validar un rol de IAM y registrar la información en un AWS CloudTrail.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        }
    ]
}

Paso 6: configurar la VPC para RDS Custom for Oracle

La instancia de base de datos de RDS Custom se encuentra en una nube privada virtual (VPC) basada en el servicio Amazon VPC, tal como lo es una instancia de Amazon EC2 o una instancia de Amazon RDS. Proporcione y configure su propia VPC. A diferencia de RDS Custom para SQL Server, RDS Custom para Oracle no crea listas de control de acceso ni grupos de seguridad. Debe asociar su propio grupo de seguridad, subredes y tablas de enrutamiento.

Puede configurar la nube privada virtual (VPC) mediante CloudFormation o un proceso manual.

importante

Se recomienda encarecidamente que configure el entorno de RDS Custom para Oracle mediante AWS CloudFormation. Esta técnica es la más sencilla y la menos propensa a errores.

Temas

Configuración de la VPC mediante CloudFormation (recomendado)
Configurar la VPC manualmente para RDS Custom for Oracle

Configuración de la VPC mediante CloudFormation (recomendado)

Si ya ha configurado la VPC para otro motor de RDS Custom y desea reutilizar la VPC existente, omita este paso. En esta sección se presupone lo siguiente:

Ya ha utilizado CloudFormation para crear el rol y el perfil de instancia de IAM.
Conoce el ID de tabla de enrutamiento.

Para que una instancia de base de datos sea privada, debe estar en una subred privada. Para que una subred sea privada, no debe estar asociada a una tabla de enrutamiento que tenga una puerta de enlace de Internet predeterminada. Para obtener más información, consulte Configurar tablas de enrutamiento en la Guía del usuario de Amazon VPC.

Cuando utiliza la plantilla de CloudFormation para su VPC, se crean los siguientes recursos:

Una VPC privada
Un grupo de subred denominado rds-custom-private
Los siguientes puntos de conexión de VPC, que su instancia de base de datos usa para comunicarse con los Servicios de AWS dependientes:
- com.amazonaws.region.ec2messages
- com.amazonaws.region.events
- com.amazonaws.region.logs
- com.amazonaws.region.monitoring
- com.amazonaws.region.s3
- com.amazonaws.region.secretsmanager
- com.amazonaws.region.ssm
- com.amazonaws.region.ssmmessages
nota
Para una configuración de red compleja con cuentas existentes, le recomendamos que configure el acceso a los servicios dependientes manualmente si el acceso aún no existe. Para obtener más información, consulte Asegúrese de que su VPC pueda acceder a los Servicios de AWS dependientes.

Para configurar la VPC mediante CloudFormation

Abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation.
Inicie el asistente Crear pila, seleccione Crear pila y, a continuación, Con recursos nuevos (estándar).
En la página Create stack (Crear pila), proceda del modo siguiente:
1. En Prepare template (Preparar plantilla), elija Template is ready (La plantilla está lista).
2. Para Template source (Origen de plantilla), elija Upload a template file (Cargar un archivo de plantilla).
3. Para Choose file (Elegir un archivo), navegue hasta y, a continuación, elija custom-vpc.json.
4. Elija Siguiente.
En la página Specify stack Details (Especificar detalles de pila), haga lo siguiente:
1. En Stack name (Nombre de pila), ingrese custom-vpc.
2. Para Parameters (Parámetros), elija las subredes privadas que desea utilizar para las instancias de base de datos de RDS Custom.
3. Elija el ID de VPC privado que se utilizará para las instancias de base de datos de RDS Custom.
4. Ingrese la tabla de enrutamiento principal asociada a las subredes privadas.
5. Elija Siguiente.
En la página Configurar opciones de pila, elija Siguiente.
En la página Revisar custom-vpc, elija Enviar.

CloudFormation configura la VPC privada. En el panel de la izquierda, cuando custom-vpc indique CREATE_COMPLETE, continúe con el paso siguiente.
(Opcional) Revise los detalles de la VPC. En el panel Pilas, seleccione custom-vpc. En el panel de la derecha, haga lo siguiente:
1. Elija Información de la pila. Su pila tiene un ID con el formato arn:aws:cloudformation:region:account-no:stack/custom-vpc/identifier.
2. Seleccione Recursos. Debería ver un grupo de subredes denominado rds-custom-private y varios puntos de conexión de VPC que utilizan el formato de nomenclatura vpce-string. Cada punto de conexión se corresponde con un Servicio de AWS con el que RDS Custom necesita comunicarse. Para obtener más información, consulte Asegúrese de que su VPC pueda acceder a los Servicios de AWS dependientes.
3. Elija Agregar parámetro. Debería ver las subredes privadas, la VPC privada y la tabla de enrutamiento que especificó al crear la pila. Al crear una instancia de base de datos, tiene que proporcionar el ID de VPC y el grupo de subred.

Configurar la VPC manualmente para RDS Custom for Oracle

Como alternativa a la creación de VPC de forma automática con AWS CloudFormation, puede configurar la VPC de forma manual. Esta opción puede ser la mejor cuando se tiene una configuración de red compleja que utilice los recursos existentes.

Temas

Asegúrese de que su VPC pueda acceder a los Servicios de AWS dependientes
Configurar el servicio de metadatos de instancia

Asegúrese de que su VPC pueda acceder a los Servicios de AWS dependientes

RDS Custom envía la comunicación desde la instancia de base de datos a otros Servicios de AWS. Asegúrese de que se pueda acceder a los siguientes servicios desde la subred en la que creó las instancias de base de datos de RDS Custom:

Amazon CloudWatch
Registros de Amazon CloudWatch
Eventos de Amazon CloudWatch
Amazon EC2
Amazon EventBridge
Simple Storage Service (Amazon S3)
AWS Secrets Manager
AWS Systems Manager

Si se crean implementaciones multi-AZ

Amazon Simple Queue Service

Si RDS Custom no puede comunicarse con los servicios necesarios, publica los siguientes eventos:


Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.


Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Para evitar errores incompatible-network, asegúrese de que los componentes de la VPC que intervienen en la comunicación entre la instancia de base de datos de RDS Custom y Servicios de AWS cumplen los siguientes requisitos:

La instancia de base de datos puede realizar conexiones salientes en el puerto 443 a otros Servicios de AWS.
La VPC permite respuestas entrantes a solicitudes originadas en la instancia de base de datos de RDS Custom.
RDS Custom puede resolver correctamente los nombres de dominio de los puntos de conexión de cada Servicio de AWS.

Si ya ha configurado una VPC para otro motor de base de datos de RDS Custom, puede reutilizar esa VPC y omitir este proceso.

Configurar el servicio de metadatos de instancia

Asegúrese de que la instancia pueda hacer lo siguiente:

Acceda al servicio de metadatos de la instancia mediante la versión 2 del servicio de metadatos de la instancia (IMDSv2).
Permitir comunicaciones salientes a través del puerto 80 (HTTP) a la dirección IP del enlace IMDS.
Solicitar metadatos de instancia de http://169.254.169.254, el enlace IMDSv2.

Para obtener más información, consulte Use IMDSv2 (Usar IMDSv2) en la Amazon EC2 User Guide for Linux Instances (Guía del usuario de Amazon EC2 para instancias de Linux).

RDS Custom para automatización de Oracle utiliza IMDSv2 de forma predeterminada, configurando HttpTokens=enabled en la instancia de Amazon EC2 subyacente. Sin embargo, puede usar IMDSv1 si lo desea. Para obtener más información, consulte Configure the instance metadata options (Configurar las opciones de metadatos de la instancia) en la Amazon EC2 User Guide for Linux Instances (Guía del usuario de Amazon EC2 para instancias de Linux).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Requisitos y limitaciones de Amazon RDS Custom para Oracle

Trabajar con CEV para RDS Custom for Oracle