Configuration de votre environnement pour Amazon RDS Custom for SQL Server - Amazon Relational Database Service
Conditions préalables à la configuration de RDS Custom for SQL ServerÉtape 1 : accordez les autorisations requises à votre principal IAMÉtape 2 : Configuration du réseau, du profil d'instance et du chiffrementRestriction entre instances

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de votre environnement pour Amazon RDS Custom for SQL Server

Avant de créer et de t degérer une instance de base de données Amazon RDS Custom for SQL Server, vous devez effectuer les tâches suivantes.

Note

Pour un step-by-step didacticiel sur la configuration des prérequis et le lancement d'Amazon RDS Custom pour SQL Server, consultez Commencer à utiliser Amazon RDS Custom pour SQL Server à l'aide d'un CloudFormation modèle (Configuration réseau) et Découvrez les prérequis requis requis pour créer une instance Amazon RDS Custom pour SQL Server.

Conditions préalables à la configuration de RDS Custom for SQL Server

Avant de créer une instance de base de données RDS Custom for SQL Server, assurez-vous que votre environnement satisfait aux exigences décrites dans cette rubrique. Vous pouvez également utiliser le CloudFormation modèle pour configurer les prérequis dans votre Compte AWS. Pour plus d’informations, consultez Configuration avec AWS CloudFormation.

RDS Custom pour SQL Server nécessite que vous configuriez les conditions préalables suivantes :

  • Configurez les autorisations AWS Identity and Access Management (IAM) requises pour la création d'instances. Il s'agit de l'utilisateur ou du rôle AWS Identity and Access Management (IAM) nécessaire pour envoyer une create-db-instance demande à RDS.

  • Configurez les ressources requises par RDS Custom pour l'instance de base de données SQL Server :

    • Configurez la AWS KMS clé requise pour le chiffrement de l'instance personnalisée RDS. RDS Custom nécessite une clé gérée par le client au moment de la création de l'instance pour le chiffrement. L'ARN, l'ID, l'ARN de l'alias ou le nom de l'alias de la clé KMS sont transmis en tant que kms-key-id paramètre dans la demande de création de l'instance de base de données personnalisée RDS.

    • Configurez les autorisations requises dans l'instance de base de données RDS Custom pour SQL Server. RDS Custom attache un profil d'instance à l'instance de base de données lors de sa création et l'utilise pour l'automatisation au sein de l'instance de base de données. Le nom du profil d'instance est défini custom-iam-instance-profile dans la demande de création personnalisée RDS. Vous pouvez créer un profil d'instance à partir du AWS Management Console ou créer manuellement votre profil d'instance. Pour plus d’informations, consultez Création automatique de profils d'instance à l'aide du AWS Management Console et Création manuelle de votre profil d'instance et de votre rôle IAM.

    • Configurez la configuration réseau conformément aux exigences de RDS Custom pour SQL Server. Les instances personnalisées RDS résident dans les sous-réseaux (configurés avec le groupe de sous-réseaux de base de données) que vous fournissez lors de la création de l'instance. Ces sous-réseaux doivent permettre aux instances personnalisées RDS de communiquer avec les services requis pour l'automatisation RDS.

Note

Pour les exigences mentionnées ci-dessus, assurez-vous qu'aucune politique de contrôle des services (SCP) ne restreint les autorisations au niveau du compte.

Si le compte que vous utilisez fait partie d'une organisation AWS , des politiques de contrôle des services (SCP) peuvent restreindre les autorisations au niveau du compte. Assurez-vous que les SCP ne limitent pas les autorisations sur les utilisateurs et les rôles que vous créez à l'aide des procédures suivantes.

Pour de plus amples informations sur les SCP, veuillez consulter Politiques de contrôle de service (SCP) dans le Guide de l'utilisateur AWS Organizations . Utilisez la AWS CLI commande describe-organization pour vérifier si votre compte fait partie d'une AWS organisation.

Pour plus d'informations sur AWS les Organizations, voir What is AWS Organizations dans le guide de AWS Organizations l'utilisateur.

Pour connaître les exigences générales applicables à RDS Custom for SQL Server, consultez Exigences générales pour RDS Custom for SQL Server.

Création automatique de profils d'instance à l'aide du AWS Management Console

RDS Custom vous oblige à créer et à configurer un profil d'instance pour lancer toute instance de base de données RDS Custom pour SQL Server. Utilisez le AWS Management Console pour créer et associer un nouveau profil d'instance en une seule étape. Cette option est disponible dans la section Sécurité personnalisée RDS des pages Créer une base de données, Restaurer un instantané et Restaurer vers un point précis de la console. Choisissez Créer un nouveau profil d'instance pour fournir un suffixe de nom de profil d'instance. AWS Management Console crée un nouveau profil d'instance doté des autorisations requises pour les tâches d'automatisation personnalisées RDS. Pour créer automatiquement de nouveaux profils d'instance, votre AWS Management Console utilisateur connecté doit disposer des autorisationsiam:CreateInstanceProfile, iam:AddRoleToInstanceProfileiam:CreateRole, et. iam:AttachRolePolicy

Note

Cette option n'est disponible que dans le AWS Management Console. Si vous utilisez la CLI ou le SDK, utilisez le CloudFormation modèle RDS Custom fourni ou créez manuellement un profil d'instance. Pour plus d’informations, consultez Création manuelle de votre profil d'instance et de votre rôle IAM.

Étape 1 : accordez les autorisations requises à votre principal IAM

Assurez-vous que vous disposez d'un accès suffisant pour créer une instance personnalisée RDS. Le rôle IAM ou l'utilisateur IAM (appelé principal IAM) chargé de créer une instance de base de données RDS Custom pour SQL Server à l'aide de la console ou de la CLI doit disposer de l'une des politiques suivantes pour une création d'instance de base de données réussie :

  • La stratégie AdministratorAccess

  • La politique AmazonRDSFullAccess avec les autorisations supplémentaires suivantes :

    iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging
s3:CreateBucket
s3:PutBucketPolicy
s3:PutBucketObjectLockConfiguration
s3:PutBucketVersioning 
kms:CreateGrant
kms:DescribeKey
kms:Decrypt
kms:ReEncryptFrom
kms:ReEncryptTo
kms:GenerateDataKeyWithoutPlaintext
kms:GenerateDataKey
ec2:DescribeImages
ec2:RunInstances
ec2:CreateTags

    RDS Custom utilise ces autorisations lors de la création de l'instance. Ces autorisations configurent les ressources de votre compte qui sont requises pour les opérations RDS Custom.

    Pour plus d'informations sur l'autorisation kms:CreateGrant, consultez AWS KMS key management.

L'exemple de politique JSON suivant accorde les autorisations requises.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Le principal IAM a besoin des autorisations supplémentaires suivantes pour utiliser les versions de moteurs personnalisées (CEV) :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConfigureKmsKeyEncryptionPermission",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:region:account_id:key/key_id"
        },
        {
            "Sid": "CreateEc2Instance",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:RunInstances",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}

Remplacez account_id par l'ID du compte que vous utilisez pour créer votre instance. Remplacez la région par Région AWS celle que vous utilisez pour créer votre instance. Remplacez key_id par votre identifiant de clé géré par le client. Vous pouvez ajouter plusieurs clés selon vos besoins.

Pour plus d'informations sur les autorisations au niveau des ressources requises pour lancer une instance EC2, consultez Launch instances (). RunInstances

En outre, le principal IAM exige l'autorisation iam:PassRole sur le rôle IAM. Elle doit être attachée au profil d'instance transmis dans le paramètre custom-iam-instance-profile de la demande de création de l'instance de base de données RDS Custom. Le profil d'instance et son rôle attaché sont créés ultérieurement dans Étape 2 : Configuration du réseau, du profil d'instance et du chiffrement.

Note

Assurez-vous que les autorisations répertoriées précédemment ne sont pas restreintes par les politiques de contrôle des services (SCP), les limites d'autorisation ou les politiques de session associées au principal IAM.

Étape 2 : Configuration du réseau, du profil d'instance et du chiffrement

Vous pouvez configurer votre rôle de profil d'instance IAM, votre cloud privé virtuel (VPC) AWS KMS et votre clé de chiffrement symétrique en utilisant l'un des processus suivants :

Note

Si votre compte en fait partie AWS Organizations, assurez-vous que les autorisations requises par le rôle de profil d'instance ne sont pas limitées par les politiques de contrôle des services (SCP).

Les configurations réseau décrites dans cette rubrique fonctionnent mieux avec les instances de base de données qui ne sont pas accessibles au public. Vous ne pouvez pas vous connecter directement à de telles instances de base de données depuis l'extérieur du VPC.

Configuration avec AWS CloudFormation

Pour simplifier la configuration, vous pouvez utiliser un fichier AWS CloudFormation modèle pour créer une CloudFormation pile. Un CloudFormation modèle crée toutes les ressources réseau, les profils d'instance et les ressources de chiffrement conformément aux exigences de RDS Custom.

Pour savoir comment créer des piles, consultez la section Création d'une pile sur la AWS CloudFormation console dans le Guide de l'AWS CloudFormation utilisateur.

Pour un didacticiel expliquant comment lancer Amazon RDS Custom pour SQL Server à l'aide d'un AWS CloudFormation modèle, consultez Commencer à utiliser Amazon RDS Custom pour SQL Server à l'aide d'un AWS CloudFormation modèle sur le blog de AWS base de données.

Paramètres requis par CloudFormation

Les paramètres suivants sont requis pour configurer les ressources prérequises RDS Custom avec CloudFormation :

Groupe de paramètres Nom du paramètre Valeur par défaut Description
Configuration de disponibilité Sélectionnez une configuration de disponibilité pour la configuration des prérequis Multi-AZ Spécifiez si vous souhaitez configurer les prérequis dans une configuration mono-AZ ou multi-AZ pour les instances personnalisées RDS. Vous devez utiliser la configuration multi-AZ si vous avez besoin d'au moins une instance de base de données multi-AZ dans cette configuration
Configuration réseau Bloc d'adresse CIDR IPv4 pour VPC 10.0.0.0/16

Spécifiez un bloc d'adresse CIDR IPv4 (ou plage d'adresses IP) pour votre VPC. Ce VPC est configuré pour créer et utiliser une instance de base de données personnalisée RDS.
Bloc d'adresse CIDR IPv4 pour 1 des 2 sous-réseaux privés 10.0.128.0/20

Spécifiez un bloc d'adresse CIDR IPv4 (ou plage d'adresses IP) pour votre premier sous-réseau privé. Il s'agit de l'un des deux sous-réseaux dans lesquels l'instance de base de données personnalisée RDS peut être créée. Il s'agit d'un sous-réseau privé sans accès à Internet.
Bloc d'adresse CIDR IPv4 pour 2 des 2 sous-réseaux privés 10.0.144.0/20

Spécifiez un bloc d'adresse CIDR IPv4 (ou plage d'adresses IP) pour votre deuxième sous-réseau privé. Il s'agit de l'un des deux sous-réseaux dans lesquels l'instance de base de données personnalisée RDS peut être créée. Il s'agit d'un sous-réseau privé sans accès à Internet.
Bloc d'adresse CIDR IPv4 pour sous-réseau public 10,0.0.0/20

Spécifiez un bloc d'adresse CIDR IPv4 (ou plage d'adresses IP) pour votre sous-réseau public. Il s'agit de l'un des sous-réseaux dans lesquels l'instance EC2 peut se connecter à une instance de base de données personnalisée RDS qui peut être créée. Il s'agit d'un sous-réseau public avec accès à Internet.
Configuration de l'accès RDP Bloc d'adresse CIDR IPv4 de votre source

Spécifiez un bloc d'adresse CIDR IPv4 (ou plage d'adresses IP) de votre source. Il s'agit de la plage d'adresses IP à partir de laquelle vous établissez une connexion RDP à l'instance EC2 dans le sous-réseau public. Si ce n'est pas le cas, la connexion RDP à l'instance EC2 n'est pas configurée.
Configuration de l'accès RDP à l'instance RDS Custom pour SQL Server Non

Spécifiez s'il faut activer la connexion RDP entre l'instance EC2 et l'instance RDS Custom for SQL Server. Par défaut, la connexion RDP entre l'instance EC2 et l'instance DB n'est pas configurée.

La création réussie de la CloudFormation pile à l'aide des paramètres par défaut crée les ressources suivantes dans votre Compte AWS :

  • Clé KMS de chiffrement symétrique pour le chiffrement des données gérées par RDS Custom.

  • Le profil d'instance est associé à un rôle IAM AmazonRDSCustomInstanceProfileRolePolicy pour fournir les autorisations requises par RDS Custom. Pour plus d'informations, consultez AmazonRDS CustomServiceRolePolicy dans le Guide de référence des politiques AWS gérées.

  • VPC avec la plage CIDR spécifiée comme paramètre. CloudFormation La valeur par défaut est 10.0.0.0/16.

  • Deux sous-réseaux privés avec la plage CIDR spécifiée dans les paramètres, et deux zones de disponibilité différentes dans la Région AWS. Les valeurs par défaut des CIDR de sous-réseau sont 10.0.128.0/20 et 10.0.144.0/20.

  • Un sous-réseau public dont la plage d'adresses CIDR est spécifiée dans les paramètres. La valeur par défaut du CIDR du sous-réseau est 10.0.0.0/20. L'instance EC2 réside dans ce sous-réseau et peut être utilisée pour se connecter à l'instance personnalisée RDS.

  • Jeu d'options DHCP pour le VPC avec résolution de nom de domaine sur un serveur Amazon Domain Name System (DNS).

  • Table de routage à associer à deux sous-réseaux privés sans accès à Internet.

  • Table de routage à associer au sous-réseau public et ayant accès à Internet.

  • Passerelle Internet associée au VPC pour permettre l'accès Internet au sous-réseau public.

  • Liste de contrôle d'accès réseau (ACL) à associer à deux sous-réseaux privés et accès restreint au protocole HTTPS et au port de base de données au sein du VPC.

  • Groupe de sécurité VPC à associer à l'instance RDS Custom. L'accès est limité pour le HTTPS sortant aux Service AWS points de terminaison requis par RDS Custom et au port de base de données entrant du groupe de sécurité d'instances EC2.

  • Groupe de sécurité VPC à associer à l'instance EC2 dans le sous-réseau public. L'accès est restreint pour le port de base de données sortant au groupe de sécurité d'instance personnalisé RDS.

  • Groupe de sécurité VPC à associer aux points de terminaison VPC créés pour les points de terminaison requis par Service AWS RDS Custom.

  • Groupe de sous-réseaux de base de données dans lequel les instances RDS Custom sont créées. Deux sous-réseaux privés créés par ce modèle sont ajoutés au groupe de sous-réseaux de base de données.

  • Points de terminaison VPC pour chacun des points de Service AWS terminaison requis par RDS Custom.

La définition de la configuration de disponibilité sur multi-az créera les ressources suivantes en plus de la liste ci-dessus :

  • Règles d'ACL réseau permettant la communication entre des sous-réseaux privés.

  • Accès entrant et sortant au port Multi-AZ au sein du groupe de sécurité VPC associé à l'instance personnalisée RDS.

  • Points de terminaison VPC vers les points AWS de terminaison de service requis pour les communications multi-AZ.

En outre, la configuration de l'accès RDP crée les ressources suivantes :

  • Configuration de l'accès RDP au sous-réseau public à partir de votre adresse IP source :

    • Règles ACL réseau qui autorisent la connexion RDP entre votre adresse IP source et le sous-réseau public.

    • Accès d'entrée au port RDP depuis votre adresse IP source vers le groupe de sécurité VPC associé à l'instance EC2.

  • Configuration de l'accès RDP depuis une instance EC2 dans un sous-réseau public vers une instance personnalisée RDS dans des sous-réseaux privés :

    • Règles d'ACL réseau autorisant la connexion RDP entre un sous-réseau public et un sous-réseau privé.

    • Accès entrant au port RDP depuis le groupe de sécurité VPC associé à l'instance EC2 vers le groupe de sécurité VPC associé à l'instance personnalisée RDS.

Utilisez les procédures suivantes pour créer la CloudFormation pile pour RDS Custom pour SQL Server.

Télécharger le fichier AWS CloudFormation modèle

Pour télécharger le fichier de modèle

  1. Ouvrez le menu contextuel (clic droit) du lien custom-sqlserver-onboard.zip et choisissez Enregistrer le lien sous.

  2. Enregistrez et extrayez le fichier de votre ordinateur.

Configuration des ressources à l'aide de CloudFormation

Pour configurer les ressources à l'aide de CloudFormation

  1. Ouvrez la CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Pour lancer l'assistant de création de piles, choisissez Create Stack (Créer une pile).

    La page Create stack (Créer une pile) s'affiche.

  3. Pour Prerequisite - Prepare template (Prérequis – Préparer le modèle), choisissez Template is ready (Le modèle est prêt).

  4. Pour Specify template (Spécifier un modèle), procédez comme suit :

    1. Pour Source du modèle, choisissez Charger un fichier de modèle.

    2. Pour Choisir un fichier, accédez au bon fichier et sélectionnez-le.

  5. Choisissez Suivant.

    La page Specify stack details (Spécifier les détails de la pile) s'affiche.

  6. Dans le champ Nom de la pile, saisissez rds-custom-sqlserver.

  7. Pour Parameters (Paramètres), procédez comme suit :

    1. Pour conserver les options par défaut, choisissez Next (Suivant).

    2. Pour modifier les options, choisissez la configuration de disponibilité, la configuration réseau et la configuration d'accès RDP appropriées, puis choisissez Next.

      Lisez attentivement la description de chaque paramètre avant de modifier les paramètres.

    Note

    Si vous choisissez de créer au moins une instance multi-AZ dans cette CloudFormation pile, assurez-vous que le paramètre de CloudFormation pile Sélectionner une configuration de disponibilité pour la configuration des prérequis est défini sur. Multi-AZ Si vous créez la CloudFormation pile en tant que mono-AZ, mettez-la à jour en configuration multi-AZ avant de créer la première instance multi-AZ. CloudFormation

  8. Sur la page Configurer les options de pile, choisissez Suivant.

  9. Sur la rds-custom-sqlserver page Révision, procédez comme suit :

    1. Sous Capacités, cochez la case Je sais qu' AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés.

    2. Sélectionnez Créer la pile.

Note

Ne mettez pas à jour les ressources créées à partir de cette AWS CloudFormation pile directement depuis les pages de ressources. Cela vous empêche d'appliquer de futures mises à jour à ces ressources à l'aide d'un AWS CloudFormation modèle.

CloudFormation crée les ressources requises par RDS Custom for SQL Server. Si la création de la pile échoue, consultez l'onglet Events (Événements) pour voir quelle création de ressource a échoué et le motif de l'échec.

L'onglet Sorties de cette CloudFormation pile de la console doit contenir des informations sur toutes les ressources à transmettre en tant que paramètres pour créer une instance de base de données RDS Custom for SQL Server. Assurez-vous d'utiliser le groupe de sécurité VPC et le groupe de sous-réseaux de base de données créés par CloudFormation pour les instances de base de données personnalisées RDS. Par défaut, RDS tente d'attacher le groupe de sécurité VPC par défaut, qui peut ne pas avoir l'accès dont vous avez besoin.

Si vous aviez CloudFormation l'habitude de créer des ressources, vous pouvez ignorerConfiguration manuelle.

Vous pouvez également mettre à jour une partie de la configuration de la CloudFormation pile après sa création. Les configurations qui peuvent être mises à jour sont les suivantes :

  • Configuration de disponibilité pour RDS Custom pour SQL Server

    • Sélectionnez une configuration de disponibilité pour la configuration des prérequis : mettez à jour ce paramètre pour passer de la configuration mono-AZ à la configuration multi-AZ. Si vous utilisez cette CloudFormation pile pour au moins une instance multi-AZ, vous devez mettre à jour la pile pour choisir une configuration multi-AZ.

  • Configuration d'accès RDP pour RDS personnalisée pour SQL Server

    • Bloc d'adresse CIDR IPv4 de votre source : vous pouvez mettre à jour le bloc d'adresse CIDR IPv4 (ou plage d'adresses IP) de votre source en mettant à jour ce paramètre. La définition de ce paramètre sur vide supprime la configuration d'accès RDP de votre bloc CIDR source vers le sous-réseau public.

    • Configurer l'accès RDP à RDS Custom pour SQL Server : activez ou désactivez la connexion RDP entre l'instance EC2 et l'instance RDS Custom pour SQL Server.

Vous pouvez supprimer la CloudFormation pile après avoir supprimé toutes les instances personnalisées RDS qui utilisent les ressources de la pile. RDS Custom ne suit pas la CloudFormation pile, il ne bloque donc pas la suppression de la pile lorsque certaines instances de base de données utilisent des ressources de pile. Assurez-vous qu'aucune instance de base de données personnalisée RDS n'utilise les ressources de la pile lors de la suppression de la pile.

Note

Lorsque vous supprimez une CloudFormation pile, toutes les ressources créées par la pile sont supprimées à l'exception de la clé KMS. La clé KMS passe dans un état en attente de suppression et est supprimée au bout de 30 jours. Pour conserver la clé KMS, effectuez une CancelKeyDeletionopération pendant la période de grâce de 30 jours.

Configuration manuelle

Si vous choisissez de configurer les ressources manuellement, exécutez les tâches suivantes.

Note

Pour simplifier la configuration, vous pouvez utiliser le fichier AWS CloudFormation modèle pour créer une CloudFormation pile plutôt qu'une configuration manuelle. Pour plus d’informations, consultez Configuration avec AWS CloudFormation.

Vous pouvez également utiliser le AWS CLI pour compléter cette section. Si tel est le cas, téléchargez et installez la dernière CLI.

Vérifiez que vous disposez d'une clé de chiffrement AWS KMS symétrique

Un chiffrement symétrique AWS KMS key est requis pour RDS Custom. Lorsque vous créez une instance de base de données RDS Custom pour SQL Server, assurez-vous de fournir l'identifiant de clé KMS en tant que paramètrekms-key-id. Pour plus d’informations, consultez Création et connexion à une instance de base de données pour Amazon RDS Custom for SQL Server.

Vous avez les options suivantes :

  • Si vous possédez déjà une clé KMS gérée par le client Compte AWS, vous pouvez l'utiliser avec RDS Custom. Aucune action supplémentaire n'est nécessaire.

  • Si vous avez déjà créé une clé KMS de chiffrement symétrique gérée par le client pour un moteur RDS Custom différent, vous pouvez réutiliser la même clé KMS. Aucune action supplémentaire n'est nécessaire.

  • Si votre compte ne contient pas encore de clés de chiffrement KMS symétriques gérées par le client, créez-en une en suivant les instructions de la section Creating keys (Création de clés) dans le Guide du développeur AWS Key Management Service .

  • Si vous créez une instance de base de données personnalisée CEV ou RDS et que votre clé KMS se trouve dans une autre Compte AWS, assurez-vous d'utiliser le. AWS CLI Vous ne pouvez pas utiliser la AWS console avec des clés KMS entre comptes.

Important

RDS Custom ne prend pas en charge les clés KMS AWS gérées.

Assurez-vous que votre clé de chiffrement symétrique autorise l'accès au rôle (IAM) kms:Decrypt et aux kms:GenerateDataKey opérations du rôle AWS Identity and Access Management (IAM) dans votre profil d'instance IAM. Si votre compte contient une nouvelle clé de chiffrement symétrique, aucune modification n'est requise. Sinon, veillez à ce que la stratégie de votre clé de chiffrement symétrique puisse fournir l'accès à ces opérations.

Pour plus d’informations, consultez Étape 4 : Configuration personnalisée d'IAM pour RDS pour Oracle.

Création manuelle de votre profil d'instance et de votre rôle IAM

Vous pouvez créer manuellement un profil d'instance et l'utiliser pour lancer des instances personnalisées RDS. Si vous envisagez de créer l'instance dans le AWS Management Console, ignorez cette section. Vous AWS Management Console permet de créer et d'associer un profil d'instance à vos instances de base de données personnalisées RDS. Pour plus d’informations, consultez Création automatique de profils d'instance à l'aide du AWS Management Console.

Lorsque vous créez manuellement un profil d'instance, transmettez le nom du profil d'instance en tant que custom-iam-instance-profile paramètre à votre commande create-db-instance CLI. RDS Custom utilise le rôle associé à ce profil d'instance pour exécuter l'automatisation afin de gérer l'instance.

Pour créer le profil d'instance IAM et les rôles IAM pour RDS Custom for SQL Server

  1. Créez le rôle IAM nommé AWSRDSCustomSQLServerInstanceRole avec une stratégie d'approbation permettant à Amazon EC2 d'assumer ce rôle.

  2. Ajoutez la politique AWS gérée AmazonRDSCustomInstanceProfileRolePolicy àAWSRDSCustomSQLServerInstanceRole.

  3. Créez un profil d'instance IAM pour RDS Custom for SQL Server nommé AWSRDSCustomSQLServerInstanceProfile.

  4. Ajoutez AWSRDSCustomSQLServerInstanceRole au profil d'instance.

Création du rôle AWSRDSCustomSQLServerInstanceRole IAM

L'exemple suivant crée le rôle AWSRDSCustomSQLServerInstanceRole. La stratégie d'approbation permet à Amazon EC2 d'assumer le rôle.

aws iam create-role \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --assume-role-policy-document '{
        "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                  "Service": "ec2.amazonaws.com"
              }
            }
          ]
        }'
Ajoutez une politique d'accès à AWSRDSCustomSQLServerInstanceRole

Pour fournir les autorisations requises, attachez la politique AWS gérée AmazonRDSCustomInstanceProfileRolePolicy àAWSRDSCustomSQLServerInstanceRole. AmazonRDSCustomInstanceProfileRolePolicypermet aux instances personnalisées RDS d'envoyer et de recevoir des messages et d'effectuer diverses actions d'automatisation.

Note

Assurez-vous que les autorisations de la stratégie d'accès ne sont pas restreintes par les SCP ou les limites d'autorisation associées au rôle de profil d'instance.

L'exemple suivant associe une politique AWS gérée AWSRDSCustomSQLServerIamRolePolicy au AWSRDSCustomSQLServerInstanceRole rôle.

aws iam attach-role-policy \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy
Création de votre profil d'instance RDS Custom for SQL Server

Un profil d'instance est un conteneur qui inclut un rôle IAM unique. RDS Custom utilise le profil d'instance pour transmettre le rôle à l'instance.

Si vous utilisez le AWS Management Console pour créer un rôle pour Amazon EC2, la console crée automatiquement un profil d'instance et lui donne le même nom que le rôle lors de sa création. Créez votre profil d'instance comme suit, en le nommant AWSRDSCustomSQLServerInstanceProfile.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile
Ajoutez AWSRDSCustomSQLServerInstanceRole à votre profil d'instance RDS Custom pour SQL Server

Ajoutez le AWSRDSCustomInstanceRoleForRdsCustomInstance rôle au AWSRDSCustomSQLServerInstanceProfile profil créé précédemment.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \
    --role-name AWSRDSCustomSQLServerInstanceRole

Configuration manuelle de votre VPC

Votre instance de base de données RDS Custom se trouve dans un cloud privé virtuel (VPC) basé sur le service Amazon VPC, tout comme une instance Amazon EC2 ou une instance Amazon RDS. Vous fournissez et configurez votre propre VPC. Vous disposez ainsi d'un contrôle total sur la configuration réseau de votre instance.

RDS Custom envoie la communication de votre instance de base de données vers d'autres Services AWS. Assurez-vous que les services suivants sont accessibles depuis le sous-réseau dans lequel vous créez vos instances de base de données personnalisées RDS :

  • Amazon CloudWatch

  • Amazon CloudWatch Logs

  • CloudWatch Événements Amazon

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Si vous créez des déploiements multi-AZ

  • Amazon Simple Queue Service

Si RDS Custom ne parvient pas à communiquer avec les services nécessaires, il publie les événements suivants :

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Pour éviter les incompatible-network erreurs, assurez-vous que les composants VPC impliqués dans la communication entre votre instance de base de données personnalisée RDS Services AWS répondent aux exigences suivantes :

  • L'instance de base de données peut établir des connexions sortantes sur le port 443 vers d'autres Services AWS.

  • Le VPC autorise les réponses entrantes aux demandes provenant de votre instance de base de données RDS Custom.

  • RDS Custom peut correctement résoudre les noms de domaine des points de terminaison pour chaque Service AWS.

Si vous avez déjà configuré un VPC pour un moteur de base de données RDS Custom différent, vous pouvez réutiliser ce VPC et ignorer ce processus.

Configurez vos groupes de sécurité VPC

Un groupe de sécurité agit comme un pare-feu virtuel pour une instance de VPC, et contrôle le trafic entrant et sortant. Une instance de base de données personnalisée RDS possède un groupe de sécurité attaché à son interface réseau qui protège l'instance. Assurez-vous que votre groupe de sécurité autorise le trafic entre RDS Custom et d'autres Services AWS via HTTPS. Vous transmettez ce groupe de sécurité comme vpc-security-group-ids paramètre dans la demande de création d'instance.

Pour configurer votre groupe de sécurité pour RDS Custom

  1. Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/vpc.

  2. Autorisez RDS Custom à utiliser le groupe de sécurité par défaut ou créez votre propre groupe de sécurité.

    Pour obtenir des instructions complètes, veuillez consulter Donnez accès à votre instance de base VPC de données dans votre.

  3. Assurez-vous que votre groupe de sécurité autorise les connexions sortantes sur le port 443. RDS Custom a besoin de ce port pour communiquer avec des Services AWS dépendants.

  4. Si vous disposez d'un VPC privé et utilisez les points de terminaison du VPC, assurez-vous que le groupe de sécurité associé à l'instance de base de données autorise les connexions sortantes sur le port 443 vers les points de terminaison du VPC. Assurez-vous également que le groupe de sécurité associé au point de terminaison du VPC autorise les connexions entrantes sur le port 443 à partir de l'instance de base de données.

    Si les connexions entrantes ne sont pas autorisées, l'instance RDS Custom ne peut pas se connecter à AWS Systems Manager et aux points de terminaison et Amazon EC2. Pour en savoir plus, consultez Création d'un point de terminaison de cloud privé virtuel dans le Guide de l'utilisateur AWS Systems Manager .

  5. Pour les instances multi-AZ RDS Custom for SQL Server, assurez-vous que le groupe de sécurité associé à l'instance de base de données autorise les connexions entrantes et sortantes sur le port 1120 avec ce groupe de sécurité lui-même. Cela est nécessaire pour la connexion à un hôte homologue sur une instance de base de données RDS personnalisée multi-AZ pour SQL Server.

Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité pour votre VPC dans le Guide du développeur Amazon VPC.

Configurer les points de terminaison pour les personnes dépendantes Services AWS

Nous vous recommandons d'ajouter des points de terminaison pour chaque service à votre VPC en suivant les instructions ci-dessous. Cependant, vous pouvez utiliser n'importe quelle solution permettant à votre VPC de communiquer avec les points de terminaison de AWS service. Vous pouvez, par exemple, utiliser la traduction d'adresses réseau (NAT) ou AWS Direct Connect.

Pour configurer les points de terminaison Services AWS avec lesquels RDS Custom fonctionne

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans la barre de navigation, utilisez le sélecteur Région pour choisir la Région AWS.

  3. Dans le panneau de navigation, choisissez Points de terminaison. Dans le volet principal, choisissez Create Endpoint (Créer un point de terminaison).

  4. Pour Service category (Catégorie de service), choisissez Services AWS.

  5. Pour Nom du service, choisissez le point de terminaison affiché dans le tableau.

  6. Pour VPC, choisissez votre VPC.

  7. Pour Subnets (Sous-réseaux), choisissez un sous-réseau pour chaque zone de disponibilité à inclure.

    Le point de terminaison VPC peut couvrir plusieurs zones de disponibilité. AWS crée une interface réseau élastique pour le point de terminaison VPC dans chaque sous-réseau que vous choisissez. Chaque interface réseau possède un nom d'hôte DNS et une adresse IP privée.

  8. Pour Groupe de sécurité, sélectionnez ou créez un groupe de sécurité.

    Vous pouvez utiliser des groupes de sécurité pour contrôler l'accès à votre point de terminaison, comme si vous utilisiez un pare-feu. Assurez-vous que le groupe de sécurité autorise les connexions entrantes sur le port 443 à partir des instances de base de données. Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité pour votre VPC dans le Guide de l'utilisateur Amazon VPC.

  9. Vous pouvez éventuellement attacher une politique au point de terminaison du VPC. Les politiques relatives aux terminaux peuvent contrôler l'accès Service AWS au terminal auquel vous vous connectez. La politique par défaut permet à toutes les demandes de passer par le point de terminaison. Si vous utilisez une politique personnalisée, assurez-vous que les demandes issues de l'instance de base de données sont autorisées dans la politique.

  10. Choisissez Créer un point de terminaison.

Le tableau suivant explique comment trouver la liste des points de terminaison dont votre VPC a besoin pour les communications sortantes.

Service Format du point de terminaison Notes et liens

AWS Systems Manager

Utilisez les formats de points de terminaison suivants :

  • ssm.region.amazonaws.com

  • ssmmessages.region.amazonaws.com

Pour obtenir la liste de tous les points de terminaison dans chaque région, consultez Points de terminaison et quotas AWS Systems Manager dans le Référence générale d'Amazon Web Services.

AWS Secrets Manager

Utilisez le format du point de terminaison secretsmanager.region.amazonaws.com.

Pour obtenir la liste de tous les points de terminaison dans chaque région, consultez Points de terminaison et quotas AWS Secrets Manager dans le Référence générale d'Amazon Web Services.

Amazon CloudWatch

Utilisez les formats de points de terminaison suivants :

  • Pour CloudWatch les métriques, utilisez monitoring.region.amazonaws.com

  • Pour les CloudWatch événements, utilisez events.region.amazonaws.com

  • Pour CloudWatch Logs, utilisez logs.region.amazonaws.com

 Pour obtenir la liste des points de terminaison dans chaque région, consultez :

Amazon EC2

Utilisez les formats de points de terminaison suivants :

  • ec2.region.amazonaws.com

  • ec2messages.region.amazonaws.com

Pour obtenir la liste des points de terminaison dans chaque région, consultez Amazon Elastic Compute Cloud endpoints and quotas (Points de terminaison et quotas Amazon Elastic Compute Cloud) dans la Référence générale d'Amazon Web Services.

Amazon S3

Utilisez le format du point de terminaison s3.region.amazonaws.com.

Pour obtenir la liste des points de terminaison dans chaque région, consultez Amazon Simple Storage Service endpoints and quotas (Points de terminaison et quotas Amazon Simple Storage Service) dans la Référence générale d'Amazon Web Services.

Pour en savoir plus sur les points de terminaison de passerelle pour Amazon S3, consultez Points de terminaison pour Amazon S3 dans le Guide du développeur Amazon VPC.

Pour savoir comment créer un point d'accès, veuillez consulter Creating an Amazon S3 access point dans le Guide du développeur Amazon VPC.

Pour savoir comment créer des points de terminaison de passerelle pour Amazon S3, consultez la section Gateway VPC endpoints (Points de terminaison VPC de la passerelle).

Amazon Simple Queue Service

 Utiliser le format du point de terminaison sqs.region.amazonaws.com Pour obtenir la liste des points de terminaison dans chaque région, consultez la section Points de terminaison et quotas Amazon Simple Queue Service.
Configuration du service des métadonnées d'instance

Assurez-vous que votre instance peut effectuer les opérations suivantes :

  • Accéder au service des métadonnées d'instance à l'aide de la version 2 du service de métadonnées d'instance (IMDSv2).

  • Autoriser les communications sortantes via le port 80 (HTTP) vers l'adresse IP de la liaison IMDS.

  • Demander des métadonnées d'instance de http://169.254.169.254, la liaison IMDSv2.

Pour plus d'informations, consultez la section Utiliser IMDSv2 dans le guide de l'utilisateur Amazon EC2.

Restriction entre instances

Lorsque vous créez un profil d'instance en suivant les étapes ci-dessus, il utilise la politique AWS gérée AmazonRDSCustomInstanceProfileRolePolicy pour fournir les autorisations requises à RDS Custom, ce qui permet la gestion des instances et l'automatisation de la surveillance. La politique gérée garantit que les autorisations n'autorisent l'accès qu'aux ressources dont RDS Custom a besoin pour exécuter l'automatisation. Nous recommandons d'utiliser la politique gérée pour prendre en charge les nouvelles fonctionnalités et répondre aux exigences de sécurité qui sont automatiquement appliquées aux profils d'instance existants sans intervention manuelle. Pour plus d'informations, consultez la politique AWS gérée : AmazonRDSCustO m. InstanceProfileRolePolicy

La politique AmazonRDSCustomInstanceProfileRolePolicy gérée limite l'accès entre comptes au profil d'instance, mais elle peut autoriser l'accès à certaines ressources gérées RDS Custom sur plusieurs instances RDS Custom au sein d'un même compte. En fonction de vos besoins, vous pouvez utiliser des limites d'autorisation pour restreindre davantage l'accès entre instances. Les limites d'autorisation définissent les autorisations maximales que les politiques basées sur l'identité peuvent accorder à une entité, mais elles n'accordent pas d'autorisations en elles-mêmes. Pour plus d'informations, consultez la section Évaluation des autorisations effectives avec des limites.

Par exemple, la politique suivante limite le rôle du profil d'instance à l'accès à une AWS KMS clé spécifique et limite l'accès aux ressources gérées RDS Custom entre les instances qui utilisent des clés différentes AWS KMS .

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyOtherKmsKeyAccess",
            "Effect": "Deny",
            "Action": "kms:*",
            "NotResource": "arn:aws:kms:region:acct_id:key/KMS_key_ID"
        },
        {
            "Sid": "NoBoundarySetByDefault",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}
Note

Assurez-vous que la limite des autorisations ne bloque aucune autorisation accordée à AmazonRDSCustomInstanceProfileRolePolicy RDS Custom.