Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Configuration de votre environnement pour Amazon RDS Custom for Oracle

PDF
RSS
Mode de mise au point
Configuration de votre environnement pour Amazon RDS Custom for Oracle - Amazon Relational Database Service
Étape 1 : Créer ou réutiliser une clé de chiffrement symétrique AWS KMSÉtape 2 : Téléchargez et installez AWS CLIÉtape 3 : Extraire les CloudFormation modèles pour RDS Custom pour OracleÉtape 4 : Configuration personnalisée d'IAM pour RDS pour OracleÉtape 5 : accordez les autorisations requises à votre utilisateur ou à votre rôle IAMÉtape 6 : Configuration de votre VPC pour RDS Custom pour Oracle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Avant de créer une instance de base de données Amazon RDS Custom for Oracle, effectuez les tâches suivantes.

Étape 1 : Créer ou réutiliser une clé de chiffrement symétrique AWS KMS

Les clés gérées par le client se trouvent AWS KMS keys dans votre AWS compte que vous créez, détenez et gérez. Une clé KMS de chiffrement symétrique gérée par le client est requise pour RDS Custom. Lorsque vous créez une instance de base de données RDS Custom for Oracle, vous indiquez l'identificateur de clé KMS. Pour de plus amples informations, veuillez consulter Configuration d'une instance de base de données pour Amazon RDS Custom for Oracle.

Vous avez les options suivantes :

  • Si vous possédez déjà une clé KMS gérée par le client Compte AWS, vous pouvez l'utiliser avec RDS Custom. Aucune action supplémentaire n'est nécessaire.

  • Si vous avez déjà créé une clé KMS de chiffrement symétrique gérée par le client pour un moteur RDS Custom différent, vous pouvez réutiliser la même clé KMS. Aucune action supplémentaire n'est nécessaire.

  • Si votre compte ne contient pas encore de clés de chiffrement KMS symétriques gérées par le client, créez-en une en suivant les instructions de la section Creating keys (Création de clés) dans le Guide du développeur AWS Key Management Service .

  • Si vous créez une instance de base de données personnalisée CEV ou RDS et que votre clé KMS se trouve dans une autre Compte AWS, assurez-vous d'utiliser le. AWS CLI Vous ne pouvez pas utiliser la AWS console avec des clés KMS entre comptes.

Important

RDS Custom ne prend pas en charge les clés KMS AWS gérées.

Assurez-vous que votre clé de chiffrement symétrique donne accès au rôle AWS Identity and Access Management (IAM) kms:Decrypt et aux kms:GenerateDataKey opérations dans votre profil d'instance IAM. Si votre compte contient une nouvelle clé de chiffrement symétrique, aucune modification n'est requise. Sinon, veillez à ce que la stratégie de votre clé de chiffrement symétrique puisse fournir l'accès à ces opérations.

Pour de plus amples informations, veuillez consulter Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.

Pour plus d'informations sur la configuration d'IAM pour RDS Custom for Oracle, consultez Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.

Étape 2 : Téléchargez et installez AWS CLI

AWS vous fournit une interface de ligne de commande pour utiliser les fonctionnalités personnalisées de RDS. Vous pouvez utiliser la version 1 ou 2 d' AWS CLI.

Pour plus d'informations sur le téléchargement et l'installation du AWS CLI, voir Installation ou mise à jour de la dernière version du AWS CLI.

Ignorez cette étape si l'une des conditions suivantes est vraie :

  • Vous prévoyez d'accéder à RDS Custom uniquement à partir du AWS Management Console.

  • Vous avez déjà téléchargé le AWS CLI pour Amazon RDS ou un autre moteur de base de données personnalisé RDS.

Étape 3 : Extraire les CloudFormation modèles pour RDS Custom pour Oracle

Pour simplifier la configuration, nous vous recommandons vivement d'utiliser des AWS CloudFormation modèles pour créer des CloudFormation piles. Si vous prévoyez de configurer IAM et votre VPC manuellement, ignorez cette étape.

Étape 3a : Téléchargez les fichiers CloudFormation modèles

Un CloudFormation modèle est une déclaration des AWS ressources qui constituent une pile. Le modèle est stocké sous la forme d'un fichier JSON.

Pour télécharger les fichiers CloudFormation modèles

  1. Ouvrez le menu contextuel (clic droit) du lien custom-oracle-iam.zip et choisissez Enregistrer le lien sous.

  2. Enregistrez le fichier sur votre ordinateur.

  3. Répétez les étapes précédentes pour le lien custom-vpc.zip.

    Si vous avez déjà configuré votre VPC pour RDS Custom, ignorez cette étape.

Étape 3b : Extraire le custom-oracle-iam fichier .json

Ouvrez le custom-oracle-iam.zip fichier que vous avez téléchargé, puis extrayez-lecustom-oracle-iam.json. Le début du fichier se présente comme suit.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "EncryptionKey": {
      "Type": "String",
      "Default": "*",
      "Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances."
    }
  },
  "Resources": {
    "RDSCustomInstanceServiceRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" },
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                "Service": "ec2.amazonaws.com"
              }
            }
          ]
        },...

Étape 3c : Extraire custom-vpc.json

Note

Si vous avez déjà configuré un VPC existant pour RDS Custom for Oracle, ignorez cette étape. Pour de plus amples informations, veuillez consulter Configurez votre VPC manuellement pour RDS Custom for Oracle.

Ouvrez custom-vpc.zip le fichier que vous avez téléchargé, puis extrayez-le. custom-vpc.json Le début du fichier se présente comme suit.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "PrivateVpc": {
      "Type": "AWS::EC2::VPC::Id",
      "Description": "Private VPC Id to use for RDS Custom DB Instances"
    },
    "PrivateSubnets": {
      "Type": "List<AWS::EC2::Subnet::Id>",
      "Description": "Private Subnets to use for RDS Custom DB Instances"
    },
    "RouteTable": {
      "Type": "String",
      "Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint",
      "AllowedPattern": "rtb-[0-9a-z]+"
    }
  },
  "Resources": {
    "DBSubnetGroup": {
      "Type": "AWS::RDS::DBSubnetGroup",
      "Properties": {
        "DBSubnetGroupName": "rds-custom-private",
        "DBSubnetGroupDescription": "RDS Custom Private Network",
        "SubnetIds": {
          "Ref": "PrivateSubnets"
        }
      }
    },...

Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle

Vous utilisez un rôle IAM ou un utilisateur IAM (appelé entité IAM) pour créer une instance de base de données RDS Custom à l'aide de la console ou de l' AWS CLI. Cette entité IAM doit disposer des autorisations nécessaires à la création d'instances.

Vous pouvez configurer IAM à l'aide de l'une CloudFormation ou l'autre d'étapes manuelles.

Important

Nous vous recommandons vivement de configurer votre environnement RDS Custom pour Oracle à l'aide AWS CloudFormation de. Cette technique est la plus simple et la moins sujette aux erreurs.

Configurer IAM à l'aide de CloudFormation

Lorsque vous utilisez le CloudFormation modèle pour IAM, il crée les ressources requises suivantes :

  • Un profil d'instance nommé AWSRDSCustomInstanceProfile-region

  • Un nom de rôle de service nommé AWSRDSCustomInstanceRole-region

  • Une politique d'accès nommée AWSRDSCustomIamRolePolicy qui est attachée au rôle de service

Pour configurer IAM à l'aide de CloudFormation

  1. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Lancez l'assistant de création de piles et choisissez Créer une pile.

  3. Sur la page Create stack (Créer une pile), procédez de la manière suivante :

    1. Pour Préparer le modèle, choisissez Le modèle est prêt.

    2. Pour Source du modèle, choisissez Charger un fichier de modèle.

    3. Pour Choisir un fichier, naviguez jusqu'à, puis choisissez custom-oracle-iam.json.

    4. Choisissez Suivant.

  4. Sur la page Spécifier les détails de la pile, procédez comme suit :

    1. Dans le champ Nom de la pile, saisissez custom-oracle-iam.

    2. Choisissez Suivant.

  5. Sur la page Configurer les options de pile, choisissez Suivant.

  6. Sur la page Review (Vérifier) custom-oracle-iam, procédez comme suit :

    1. Cochez la case Je comprends qu' AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés.

    2. Sélectionnez Envoyer.

    CloudFormation crée les rôles IAM requis par RDS Custom for Oracle. Dans le panneau de gauche, lorsque custom-oracle-iamCREATE_COMPLETE est affiché, passez à l'étape suivante.

  7. Dans le panneau de gauche, choisissez custom-oracle-iam. Dans le volet de droite, procédez de la façon suivante :

    1. Choisissez Informations sur la pile. Votre pile possède un identifiant au format arn:aws:cloudformation : ::stack//. region account-no custom-oracle-iam identifier

    2. Sélectionnez Ressources. Vous devez voir ce qui suit :

      • Un profil d'instance nommé AWSRDSCustomInstanceProfile- region

      • Un rôle de service nommé AWSRDSCustomInstanceRole- region

      Lorsque vous créez votre instance de base de données RDS Custom, vous devez fournir l'ID de profil d'instance.

Créer manuellement votre profil d'instance et de rôle IAM

La configuration est plus simple lorsque vous utilisez CloudFormation. Toutefois, vous pouvez aussi configurer IAM manuellement. Pour une configuration manuelle, procédez comme suit :

Étape 1 : création du rôle IAM AWSRDSCustomInstanceRoleForRdsCustomInstance

Au cours de cette étape, vous créez le rôle à l'aide du format de dénomination AWSRDSCustomInstanceRole-region. En utilisant la politique de confiance, Amazon EC2 peut assumer ce rôle. L'exemple suivant suppose que vous avez défini la variable d'environnement $REGION sur la Région AWS dans laquelle vous souhaitez créer votre instance de base de données.

aws iam create-role \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Effect": "Allow",
          "Principal": {
              "Service": "ec2.amazonaws.com"
          }
        }
      ]
    }'

Étape 2 : ajouter une politique d'accès à AWSRDSCustom InstanceRoleForRdsCustomInstance

Lorsque vous intégrez une stratégie en ligne à un rôle IAM, celle-ci est utilisée comme une partie de la stratégie d'accès du rôle (autorisations). Vous créez la AWSRDSCustomIamRolePolicy politique qui permet EC2 à Amazon d'envoyer et de recevoir des messages et d'effectuer diverses actions.

L'exemple suivant crée la stratégie d'accès nommée AWSRDSCustomIamRolePolicy, et l'ajoute au rôle IAM AWSRDSCustomInstanceRole-region. Cet exemple suppose que vous avez défini les variables d'environnement suivantes :

$REGION

Définissez cette variable sur celle Région AWS dans laquelle vous prévoyez de créer votre instance de base de données.

$ACCOUNT_ID

Définissez cette variable sur votre Compte AWS numéro.

$KMS_KEY

Définissez cette variable sur l'Amazon Resource Name (ARN) de la AWS KMS key que vous souhaitez utiliser pour vos instances de base de données RDS Custom. Pour spécifier d'autres clés KMS, ajoutez-les à la section Resources de l'ID d'instruction (Sid) 11.

aws iam put-role-policy \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --policy-name AWSRDSCustomIamRolePolicy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeAssociation",
                "ssm:GetDeployablePatchSnapshotForInstance",
                "ssm:GetDocument",
                "ssm:DescribeDocument",
                "ssm:GetManifest",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:ListAssociations",
                "ssm:ListInstanceAssociations",
                "ssm:PutInventory",
                "ssm:PutComplianceItems",
                "ssm:PutConfigurePackageResult",
                "ssm:UpdateAssociationStatus",
                "ssm:UpdateInstanceAssociationStatus",
                "ssm:UpdateInstanceInformation",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2messages:AcknowledgeMessage",
                "ec2messages:DeleteMessage",
                "ec2messages:FailMessage",
                "ec2messages:GetEndpoint",
                "ec2messages:GetMessages",
                "ec2messages:SendReply"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "logs:PutRetentionPolicy",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*"
            ]
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::do-not-delete-rds-custom-*/*"
            ]
        },
        {
            "Sid": "5",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "RDSCustomForOracle/Agent"
                    ]
                }
            }
        },
        {
            "Sid": "6",
            "Effect": "Allow",
            "Action": [
                "events:PutEvents"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "7",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*"
            ]
        },
        {
           "Sid": "8",
           "Effect": "Allow",
           "Action": [
             "s3:ListBucketVersions"
           ],
           "Resource": [
             "arn:aws:s3:::do-not-delete-rds-custom-*"
           ]
         },
         {
            "Sid": "9",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSRDSCustom": "custom-oracle"
                }
            }
          },
          {
            "Sid": "10",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*"
            ]
          },
          {
            "Sid": "11",
            "Effect": "Allow",
            "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
            ],
            "Resource": [
              "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'"
            ]
          },
          {
            "Sid": "12",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:CreateAction": [
                        "CreateSnapshots"
                    ]
                }
            }
        }
    ]
}'

Étape 3 : Création du profil d'instance personnalisé RDS AWSRDSCustom InstanceProfile

Un profil d'instance est un conteneur qui inclut un rôle IAM unique. RDS Custom utilise le profil d'instance pour transmettre le rôle à l'instance.

Si vous utilisez l'interface de ligne de commande pour créer un rôle, vous devez créer le rôle et le profil d'instance sous la forme d'actions distinctes et leur attribuer éventuellement des noms différents. Créez votre profil d'instance IAM comme suit, en le nommant avec le format AWSRDSCustomInstanceProfile-region. L'exemple suivant suppose que vous avez défini la variable d'environnement $REGION sur celle Région AWS dans laquelle vous souhaitez créer votre instance de base de données.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION

Étape 4 : Ajouter AWSRDSCustom InstanceRoleForRdsCustomInstance à AWSRDSCustom InstanceProfile

Ajoutez votre rôle IAM au profil d'instance que vous avez créé précédemment. L'exemple suivant suppose que vous avez défini la variable d'environnement $REGION sur celle Région AWS dans laquelle vous souhaitez créer votre instance de base de données.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION \
    --role-name AWSRDSCustomInstanceRole-$REGION

Étape 5 : accordez les autorisations requises à votre utilisateur ou à votre rôle IAM

Assurez-vous que le principal IAM (utilisateur ou rôle) qui crée l'instance de base de données personnalisée CEV ou RDS applique l'une des politiques suivantes :

  • La stratégie AdministratorAccess

  • La AmazonRDSFullAccess politique avec les autorisations requises pour la création d'Amazon S3 et AWS KMS CEV et la création d'instances de base de données

Autorisations IAM requises pour Amazon S3 et AWS KMS

Pour créer CEVs des instances de base de données RDS Custom pour Oracle, votre principal IAM doit accéder à Amazon S3 et. AWS KMS L'exemple de politique JSON suivant accorde les autorisations requises.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur l'autorisation kms:CreateGrant, consultez AWS KMS key gestion.

Autorisations IAM requises pour créer une CEV

Pour créer un CEV, votre principal IAM a besoin des autorisations supplémentaires suivantes :

s3:GetObjectAcl
s3:GetObject
s3:GetObjectTagging
s3:ListBucket
mediaimport:CreateDatabaseBinarySnapshot

L'exemple de politique JSON suivant accorde les autorisations supplémentaires nécessaires pour accéder au bucket my-custom-installation-files et à son contenu.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessToS3MediaBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectAcl",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-custom-installation-files",
                "arn:aws:s3:::my-custom-installation-files/*"
            ]
        },
        {
            "Sid": "PermissionForByom",
            "Effect": "Allow",
            "Action": [
                "mediaimport:CreateDatabaseBinarySnapshot"
            ],
            "Resource": "*"
        }
    ]
}

Vous pouvez également accorder des autorisations similaires pour Simple Storage Service (Amazon S3) aux comptes appelants à l'aide d'une politique de compartiment S3.

Autorisations IAM requises pour créer une instance de base de données depuis une CEV

Pour créer une instance de base de données RDS Custom pour Oracle à partir d'un CEV existant, le principal IAM a besoin des autorisations supplémentaires suivantes.

iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging

L'exemple de politique JSON suivant accorde les autorisations nécessaires pour valider un rôle IAM et journaliser des informations dans un AWS CloudTrail.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        }
    ]
}

Étape 6 : Configuration de votre VPC pour RDS Custom pour Oracle

Votre instance de base de données personnalisée RDS se trouve dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC, tout comme une instance Amazon ou une EC2 instance Amazon RDS. Vous fournissez et configurez votre propre VPC. Contrairement à RDS Custom for SQL Server, RDS Custom for Oracle ne crée pas de liste de contrôle d'accès ni de groupes de sécurité. Vous devez associer votre propre groupe de sécurité, vos sous-réseaux et vos tables de routage.

Vous pouvez configurer votre cloud privé virtuel (VPC) à l'aide de l'un CloudFormation ou l'autre processus manuel.

Important

Nous vous recommandons vivement de configurer votre environnement RDS Custom pour Oracle à l'aide AWS CloudFormation de. Cette technique est la plus simple et la moins sujette aux erreurs.

Configurez votre VPC à l'aide de CloudFormation (recommandé)

Si vous avez déjà configuré votre VPC pour un autre moteur RDS Custom et que vous voulez réutiliser le VPC existant, ignorez cette étape. Cette section suppose ce qui suit :

  • Vous l'avez déjà utilisé CloudFormation pour créer votre profil et votre rôle d'instance IAM.

  • Vous connaissez l'ID de votre table de routage.

    Pour qu'une instance de base de données soit privée, elle doit se trouver dans un sous-réseau privé. Pour qu'un sous-réseau soit privé, il ne doit pas être associé à une table de routage comportant une passerelle Internet par défaut. Pour plus d'informations, consultez Configuration des tables de routage dans le Guide de l'utilisateur d'Amazon VPC.

Lorsque vous utilisez le CloudFormation modèle pour votre VPC, il crée les ressources suivantes :

  • Un VPC privé

  • Un groupe de sous-réseaux nommé rds-custom-private

  • Les points de terminaison VPC suivants, avec lesquels votre instance de base de données communique, dépendent : Services AWS

    • com.amazonaws.region.ec2messages

    • com.amazonaws.region.events

    • com.amazonaws.region.logs

    • com.amazonaws.region.monitoring

    • com.amazonaws.region.s3

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.ssm

    • com.amazonaws.region.ssmmessages

    Note

    Pour une configuration réseau complexe avec des comptes existants, nous vous recommandons de configurer manuellement l'accès aux services dépendants si aucun accès n'existe déjà. Pour de plus amples informations, veuillez consulter Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS.

Pour configurer votre VPC à l'aide de CloudFormation

  1. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Lancez l'assistant Créer une pile et choisissez Créer une pile, puis Avec de nouvelles ressources (standard).

  3. Sur la page Créer une pile, procédez de la manière suivante :

    1. Pour Préparer le modèle, choisissez Le modèle est prêt.

    2. Pour Source du modèle, choisissez Charger un fichier de modèle.

    3. Pour Choisir un fichier, accédez à custom-vpc.json et sélectionnez ce fichier.

    4. Choisissez Suivant.

  4. Sur la page Spécifier les détails de la pile, procédez comme suit :

    1. Dans le champ Nom de la pile, saisissez custom-vpc.

    2. Pour Paramètres, sélectionnez les sous-réseaux privés à utiliser pour les instances de base de données RDS Custom.

    3. Choisissez l'ID du VPC privé à utiliser pour les instances de base de données RDS Custom.

    4. Indiquez la table de routage associée aux sous-réseaux privés.

    5. Choisissez Suivant.

  5. Sur la page Configurer les options de pile, choisissez Suivant.

  6. Sur la page Vérifier custom-vpc, choisissez Envoyer.

    CloudFormation configure votre VPC privé. Dans le volet de gauche, lorsque custom-vpc affiche CREATE_COMPLETE, passez à l'étape suivante.

  7. (Facultatif) Vérifiez les détails de votre VPC. Dans le volet Piles, choisissez custom-vpc. Dans le volet de droite, procédez de la façon suivante :

    1. Choisissez Informations sur la pile. Votre stack possède un identifiant au format arn:aws:cloudformation : ::stack/custom-vpc/. region account-no identifier

    2. Sélectionnez Ressources. Vous devriez voir un groupe de sous-réseaux nommé rds-custom-privateet plusieurs points de terminaison VPC utilisant le format de dénomination vpce-. string Chaque point de terminaison correspond à un Service AWS point de terminaison avec lequel RDS Custom doit communiquer. Pour de plus amples informations, veuillez consulter Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS.

    3. Choisissez Parameters (Paramètres). Vous devriez voir les sous-réseaux privés, le VPC privé et la table de routage que vous avez spécifiés lors de la création de la pile. Lorsque vous créez une instance de base de données, vous devez fournir l'ID du VPC et le groupe de sous-réseaux.

Configurez votre VPC manuellement pour RDS Custom for Oracle

Au lieu d'automatiser la création de VPC AWS CloudFormation avec, vous pouvez configurer votre VPC manuellement. Cette option peut être la meilleure lorsque vous disposez d'une configuration réseau complexe qui utilise des ressources existantes.

Assurez-vous que votre VPC peut accéder aux personnes dépendantes Services AWS

RDS Custom envoie la communication de votre instance de base de données vers d'autres Services AWS. Assurez-vous que les services suivants sont accessibles depuis le sous-réseau dans lequel vous créez vos instances de base de données personnalisées RDS :

  • Amazon  CloudWatch (com.amazonaws.region.monitoring)

  • Amazon CloudWatch Logs (com.amazonaws.region.logs)

  • CloudWatch Événements Amazon (com.amazonaws.region.events)

  • Amazon EC2 (com.amazonaws.region.ec2etcom.amazonaws.region.ec2messages)

  • Amazon  EventBridge (com.amazonaws.region.events)

  • Amazon S3 (com.amazonaws.region.s3)

  • AWS Secrets Manager (com.amazonaws.region.secretsmanager)

  • AWS Systems Manager (com.amazonaws.region.ssmetcom.amazonaws.region.ssmmessages)

Si vous créez des déploiements multi-AZ

  • Amazon Simple Queue Service (com.amazonaws.region.sqs)

Si RDS Custom ne parvient pas à communiquer avec les services nécessaires, il publie les événements suivants :

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Pour éviter les incompatible-network erreurs, assurez-vous que les composants VPC impliqués dans la communication entre votre instance de base de données personnalisée RDS Services AWS répondent aux exigences suivantes :

  • L'instance de base de données peut établir des connexions sortantes sur le port 443 vers d'autres Services AWS.

  • Le VPC autorise les réponses entrantes aux demandes provenant de votre instance de base de données RDS Custom.

  • RDS Custom peut correctement résoudre les noms de domaine des points de terminaison pour chaque Service AWS.

Si vous avez déjà configuré un VPC pour un moteur de base de données RDS Custom différent, vous pouvez réutiliser ce VPC et ignorer ce processus.

Configuration du service des métadonnées d'instance

Assurez-vous que votre instance peut effectuer les opérations suivantes :

  • Accédez au service de métadonnées d'instance à l'aide du service de métadonnées d'instance version 2 (IMDSv2).

  • Autoriser les communications sortantes via le port 80 (HTTP) vers l'adresse IP de la liaison IMDS.

  • Demandez les métadonnées de l'instance http://169.254.169.254 à partir du IMDSv2 lien.

Pour plus d'informations, consultez la section Utilisation IMDSv2 dans le guide de EC2 l'utilisateur Amazon.

RDS Custom for Oracle Automation s'utilise IMDSv2 par défaut, en le configurant HttpTokens=enabled sur l' EC2 instance Amazon sous-jacente. Cependant, vous pouvez l'utiliser IMDSv1 si vous le souhaitez. Pour plus d'informations, consultez Configurer les options de métadonnées de l'instance dans le guide de EC2 l'utilisateur Amazon.

Sur cette page

Related resources

Amazon RDS Référence d'API
AWS CLI commandes pour Amazon RDS
SDKs et outils 

Related resources

Amazon RDS Référence d'API
AWS CLI commandes pour Amazon RDS
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.