Prérequis Lancement d'une pile Amazon DocumentDB AWS CloudFormation Accès au cluster Amazon DocumentDB Protection contre la résiliation et la suppression

Démarrage rapide avec Amazon DocumentDB AWS CloudFormation

Cette section contient des étapes et d'autres informations pour vous aider à démarrer rapidement avec Amazon DocumentDB (compatible avec MongoDB) en utilisant. AWS CloudFormation Pour obtenir des informations générales sur Amazon DocumentDB, consultez. Qu'est-ce qu'Amazon DocumentDB (avec compatibilité avec MongoDB)

Ces instructions utilisent un AWS CloudFormation modèle pour créer un cluster et des instances dans votre Amazon VPC par défaut. Pour obtenir des instructions afin de créer ces ressources vous-même, consultez Commencez à utiliser Amazon DocumentDB.

Important

La AWS CloudFormation pile créée par ce modèle crée plusieurs ressources, notamment des ressources dans Amazon DocumentDB (par exemple, un cluster et des instances) et Amazon Elastic Compute Cloud (par exemple, un groupe de sous-réseaux).

Certaines de ces ressources ne sont pas couvertes par une offre gratuite. Pour obtenir des informations sur les tarifs, consultez les sections Tarification Amazon DocumentDB et Tarification Amazon EC2. Vous pouvez supprimer la pile lorsque vous n'en avez plus besoin pour arrêter les frais.

Cette AWS CloudFormation pile est destinée uniquement à des fins de didacticiel. Si vous utilisez ce modèle pour un environnement de production, nous vous recommandons d'utiliser des politiques et des mesures de sécurité IAM plus strictes. Pour plus d'informations sur la sécurisation des ressources, consultez Amazon VPC Security et Amazon EC2 Network and Security.

Rubriques

Prérequis
Lancement d'une pile Amazon DocumentDB AWS CloudFormation
Accès au cluster Amazon DocumentDB
Protection contre la résiliation et la suppression

Prérequis

Avant de créer un cluster Amazon DocumentDB, vous devez disposer des éléments suivants :

Un Amazon VPC par défaut
Les autorisations IAM nécessaires

Autorisations IAM nécessaires

Les autorisations suivantes vous permettent de créer des ressources pour la pile AWS CloudFormation :

AWS Politiques gérées

AWSCloudFormationReadOnlyAccess
AmazonDocDBFullAccess

Autorisations IAM supplémentaires

La politique suivante décrit les autorisations supplémentaires requises pour créer et supprimer cette AWS CloudFormation pile.


{
   "Version": "2012-10-17",
   "Statement": [
       {
            "Effect": "Allow",
            "Action": [
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:CreateRole",
                "iam:CreatePolicy",
                "iam:PutRolePolicy",
                "iam:CreateInstanceProfile",
                "iam:AddRoleToInstanceProfile",
                "iam:GetAccountSummary",
                "iam:ListAccountAliases",
                "iam:GetRole",
                "iam:DeleteRole",
                "iam:RemoveRoleFromInstanceProfile",
                "iam:DeleteRolePolicy",
                "iam:DeleteInstanceProfile",
                "cloudformation:*Stack",
                "ec2:DescribeKeyPairs",
                "ec2:*Vpc",
                "ec2:DescribeInternetGateways",
                "ec2:*InternetGateway",
                "ec2:createTags",
                "ec2:*VpcAttribute",
                "ec2:DescribeRouteTables",
                "ec2:*RouteTable",
                "ec2:*Subnet",
                "ec2:*SecurityGroup",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeVpcEndpoints",
                "ec2:*VpcEndpoint",
                "ec2:*SubnetAttribute",
                "ec2:*Route",
                "ec2:*Instances",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Sid": "iamPassRole",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "rds.amazonaws.com"
                }
            }
        }
   ]
}

Note

Les autorisations en caractères gras dans la stratégie précédente sont uniquement requises pour supprimer une pile : iam:DeleteRole, iam:RemoveRoleFromInstanceProfile, iam:DeleteRolePolicy, iam:DeleteInstanceProfile, et ec2:DeleteVpcEndpoints. Notez également que ec2:*Vpc accorde des autorisations ec2:DeleteVpc.

Paire de clés Amazon EC2

Vous devez disposer d'une paire de clés (et du fichier PEM) dans la région où vous allez créer la AWS CloudFormation pile. Si vous devez créer une paire de clés, consultez la section Création d'une paire de clés à l'aide d'Amazon EC2 dans le guide de l'utilisateur Amazon EC2.

Lancement d'une pile Amazon DocumentDB AWS CloudFormation

Cette section explique comment lancer et configurer une pile Amazon DocumentDB. AWS CloudFormation

Connectez-vous à l' AWS Management Console adressehttps://console.aws.amazon.com/.

Le tableau suivant répertorie les modèles de pile Amazon DocumentDB pour chacun d'entre eux. Région AWS Choisissez Launch Stack dans lequel Région AWS vous souhaitez lancer votre stack.

Région	Afficher le modèle	Afficher dans Designer
USA Est (Ohio)	Afficher le modèle	Afficher dans Designer
USA Est (Virginie du Nord)	Afficher le modèle	Afficher dans Designer
USA Ouest (Oregon)	Afficher le modèle	Afficher dans Designer
Asie-Pacifique (Mumbai)	Afficher le modèle	Afficher dans Designer
Asie-Pacifique (Séoul)	Afficher le modèle	Afficher dans Designer
Asie-Pacifique (Singapour)	Afficher le modèle	Afficher dans Designer
Asie-Pacifique (Sydney)	Afficher le modèle	Afficher dans Designer
Asie-Pacifique (Tokyo)	Afficher le modèle	Afficher dans Designer
Canada (Centre)	Afficher le modèle	Afficher dans Designer
Europe (Francfort)	Afficher le modèle	Afficher dans Designer
Europe (Irlande)	Afficher le modèle	Afficher dans Designer
Europe (Londres)	Afficher le modèle	Afficher dans Designer
Europe (Paris)	Afficher le modèle	Afficher dans Designer

Create stack — Décrit le modèle Amazon DocumentDB que vous avez sélectionné. Chaque pile est basée sur un modèle (un fichier JSON ou YAML) qui contient la configuration AWS des ressources que vous souhaitez inclure dans la pile. Comme vous avez choisi de lancer une pile à partir des modèles fournis ci-dessus, votre modèle a déjà été configuré pour créer une pile Amazon DocumentDB pour le modèle Région AWS que vous avez choisi.

Lorsque vous lancez une AWS CloudFormation pile, la protection contre la suppression de votre cluster Amazon DocumentDB est désactivée par défaut. Si vous souhaitez activer la protection contre la suppression pour votre cluster, procédez comme suit. Sinon, choisissez Suivant pour passer à l'étape suivante.

Pour activer la protection contre la suppression pour votre cluster Amazon DocumentDB :
1. Choisissez Afficher dans le concepteur dans le coin inférieur droit de la page Créer une pile.
2. Modifiez le modèle à l'aide des éditeurs JSON et YAML intégrés dans la page AWS CloudFormation Designer de la console qui en résulte. Faites défiler jusqu'à la section Resources et modifiez-la pour inclure DeletionProtection, comme suit. Pour plus d'informations sur l'utilisation de AWS CloudFormation Designer, voir Qu'est-ce que AWS CloudFormation Designer ? .
  
  JSON:
```
"Resources": {
    "DBCluster": {
        "Type": "AWS::DocDB::DBCluster",
        "DeletionPolicy": "Delete",
        "Properties": {
            "DBClusterIdentifier": {
                "Ref": "DBClusterName"
            },
            "MasterUsername": {
                "Ref": "MasterUser"
            },
            "MasterUserPassword": { 
                "Ref": "MasterPassword"
            }, 
            "DeletionProtection": "true"
        }
    },
```
  YAML :
```
Resources:
  DBCluster:
    Type: 'AWS::DocDB::DBCluster'
    DeletionPolicy: Delete
    Properties:
      DBClusterIdentifier: !Ref DBClusterName
      MasterUsername: !Ref MasterUser
      MasterUserPassword: !Ref MasterPassword
      DeletionProtection: 'true'
```
3. Choisissez Créer une pile ( ) dans le coin supérieur gauche de la page pour enregistrer vos modifications et créer une pile avec ces modifications activées.
4. Après avoir enregistré vos modifications, vous serez redirigé vers la page Créer une pile.
5. Choisissez Next (Suivant) pour continuer.
Spécifiez les détails de la pile : entrez le nom de la pile et les paramètres de votre modèle. Les paramètres sont définis dans votre modèle et vous permettent d'entrer des valeurs personnalisées lorsque vous créez ou mettez à jour une pile.
- Sous Nom de la pile, entrez un nom pour votre pile ou acceptez le nom fourni. Le nom de la pile peut inclure des lettres (A—Z et a—z), des chiffres (0—9) et des tirets (—).
- Sous Paramètres, entrez les détails suivants :
  - DB ClusterName — Entrez le nom de votre cluster Amazon DocumentDB ou acceptez le nom fourni.
    
    Contraintes d'attribution de nom relatives à un cluster :
    La longueur est de [1 à 63] lettres, chiffres ou traits d'union.
    
    Le premier caractère doit être une lettre.
    
    Ne peut pas se terminer par un trait d'union ni contenir deux traits d'union consécutifs.
    
    Doit être unique pour tous les clusters d'Amazon RDS, Neptune et Amazon Compte AWS DocumentDB par région.
  - DB InstanceClass — Dans la liste déroulante, sélectionnez la classe d'instance pour votre cluster Amazon DocumentDB.
  - DB InstanceName — Entrez un nom pour votre instance Amazon DocumentDB ou acceptez le nom fourni.
    
    Contraintes d'affectation de noms :
    La longueur est de [1 à 63] lettres, chiffres ou traits d'union.
    
    Le premier caractère doit être une lettre.
    
    Ne peut pas se terminer par un trait d'union ni contenir deux traits d'union consécutifs.
    
    Doit être unique pour toutes les instances d'Amazon RDS, Neptune et Amazon Compte AWS DocumentDB par région.
  - MasterPassword— Le mot de passe du compte administrateur de la base de données.
  - MasterUser— Nom d'utilisateur du compte administrateur de la base de données. Le MasterUser doit commencer par une lettre et ne peut contenir que des caractères alphanumériques.
Choisissez Suivant pour enregistrer vos modifications et continuer.
Configurer les options de la pile : configurez les balises, les autorisations et les options supplémentaires de votre pile.
- Balises — Spécifiez les paires de balises (clé-valeur) à appliquer aux ressources de votre pile. Vous pouvez ajouter jusqu'à 50 balises uniques pour chaque pile.
- Autorisations : facultatif. Choisissez un rôle IAM pour définir explicitement AWS CloudFormation comment créer, modifier ou supprimer des ressources dans la pile. Si vous ne choisissez aucun rôle, AWS CloudFormation utilise les autorisations en fonction de vos informations d'identification utilisateur. Avant de spécifier un rôle de service, vérifiez que vous êtes autorisé à le transmettre (iam:PassRole). L'autorisation iam:PassRole indique les rôles que vous pouvez utiliser.
  
  Note
  Lorsque vous spécifiez un rôle de service, utilisez AWS CloudFormation toujours ce rôle pour toutes les opérations effectuées sur cette pile. Les autres utilisateurs autorisés à effectuer des opérations sur cette pile peuvent utiliser ce rôle, même s'ils ne sont pas autorisés à le transmettre. Si le rôle comprend des autorisations que l'utilisateur ne devrait pas avoir, vous avez peut-être remonté accidentellement ses autorisations. Vérifiez que le rôle accorde les privilèges les plus faibles.
- Options avancées : vous pouvez définir les options avancées suivantes :
  - Stack policy — Facultatif. Définit les ressources que vous voulez protéger contre les mises à jour accidentelles pendant une mise à jour de pile. Par défaut, toutes les ressources peuvent être mises à jour pendant la mise à jour d'une pile.
    
    Vous pouvez entrer la politique de pile directement au format JSON ou charger un fichier JSON contenant la politique de pile. Pour de plus amples informations, veuillez consulter Éviter les mises à jour des ressources de la pile.
  - Configuration du rollback — Facultatif. Spécifiez CloudWatch les alarmes Logs AWS CloudFormation à surveiller lors de la création et de la mise à jour de la pile. Si l'opération dépasse un seuil d'alarme, AWS CloudFormation annulez-le.
  - Options de notification : facultatif. Spécifiez des rubriques pour Simple Notification System (SNS).
  - Options de création de piles : facultatif. Vous pouvez spécifier les options suivantes :
    Annulation en cas d'échec : indique si la pile doit être annulée en cas d'échec de la création de la pile.
    
    Délai d'expiration : nombre de minutes avant l'expiration du délai de création d'une pile.
    
    Protection contre la terminaison : empêche la suppression accidentelle de la pile.
    
    Note
    AWS CloudFormation la protection contre la résiliation est différente du concept de protection contre la suppression d'Amazon DocumentDB. Pour plus d’informations, consultez Protection contre la résiliation et la suppression.
Choisissez Next (Suivant) pour continuer.
Révision <stack-name>: passez en revue votre modèle de stack, les détails et les options de configuration. Vous pouvez également ouvrir un lien de création rapide au bas de la page pour créer des piles avec les mêmes configurations de base que celle-ci.
- Choisissez Créer pour créer la pile.
- Vous pouvez également choisir Créer un jeu de modifications. Un jeu de modifications est un aperçu de la façon dont cette pile sera configurée avant de créer la pile. Cela vous permet d'examiner différentes configurations avant d'exécuter le jeu de modifications.

Accès au cluster Amazon DocumentDB

Une fois la AWS CloudFormation pile terminée, vous pouvez utiliser une instance Amazon EC2 pour vous connecter à votre cluster Amazon DocumentDB. Pour plus d'informations sur la connexion à une instance Amazon EC2 via SSH, consultez Connect to Your Linux Instance dans le guide de l'utilisateur Amazon EC2.

Une fois connecté, consultez les sections suivantes, qui contiennent des informations sur l'utilisation d'Amazon DocumentDB.

Protection contre la résiliation et la suppression

L'une des meilleures pratiques d'Amazon DocumentDB consiste à activer la protection contre la suppression et la protection contre la résiliation. CloudFormation la protection contre la résiliation est une fonctionnalité nettement différente de la fonction de protection contre la suppression d'Amazon DocumentDB.

Protection contre la résiliation : vous pouvez empêcher la suppression accidentelle d'une pile en activant la protection contre la résiliation pour votre CloudFormation pile. Si un utilisateur tente de supprimer une pile pour laquelle la protection contre la résiliation est activée, la suppression échoue et la pile demeure inchangée. La protection contre la résiliation est désactivée par défaut lorsque vous créez une pile à l'aide de CloudFormation. Vous pouvez activer la protection contre la résiliation sur une pile lorsque vous la créez. Pour plus d'informations, consultez la section Configuration des options de AWS CloudFormation pile.
Protection contre la suppression — Amazon DocumentDB permet également d'activer la protection contre la suppression pour un cluster. Si un utilisateur tente de supprimer un cluster Amazon DocumentDB sur lequel la protection contre la suppression est activée, la suppression échoue et le cluster reste inchangé. La protection contre la suppression, lorsqu'elle est activée, protège contre les suppressions accidentelles d'Amazon AWS Management Console DocumentDB AWS CLI, et. CloudFormation Pour plus d'informations sur l'activation et la désactivation de la protection contre la suppression pour un cluster Amazon DocumentDB, consultez. Deletion protection (Protection contre la suppression)

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Guide de démarrage

Compatibilité avec MongoDB