Menyiapkan lingkungan Anda untuk Amazon RDS Custom for Oracle - Layanan Basis Data Relasional Amazon
Langkah 1: Buat atau gunakan kembali kunci enkripsi simetris AWS KMSLangkah 2: Unduh dan instal AWS CLILangkah 3: Ekstrak CloudFormation template untuk RDS Custom untuk OracleLangkah 4: Konfigurasikan IAM untuk RDS Custom for OracleLangkah 5: Berikan izin yang diperlukan ke pengguna atau peran IAM AndaLangkah 6: Konfigurasikan VPC Anda untuk RDS Custom for Oracle

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan lingkungan Anda untuk Amazon RDS Custom for Oracle

Sebelum Anda membuat instans DB Amazon RDS Custom for Oracle, lakukan tugas-tugas berikut.

Langkah 1: Buat atau gunakan kembali kunci enkripsi simetris AWS KMS

Kunci yang dikelola pelanggan ada AWS KMS keys di AWS akun Anda yang Anda buat, miliki, dan kelola. Kunci KMS enkripsi simetris yang dikelola pelanggan diperlukan untuk RDS Custom. Saat Anda membuat instans DB RDS Custom for Oracle, Anda menyediakan pengidentifikasi kunci KMS. Untuk informasi selengkapnya, lihat Mengonfigurasi instans DB untuk Amazon RDS Custom for Oracle.

Anda memiliki opsi berikut:

  • Jika Anda memiliki kunci KMS terkelola pelanggan yang ada di Anda Akun AWS, Anda dapat menggunakannya dengan RDS Custom. Tidak ada tindakan lebih lanjut yang diperlukan.

  • Jika Anda telah membuat kunci KMS enkripsi simetris yang dikelola pelanggan untuk mesin RDS Custom yang berbeda, Anda dapat menggunakan kembali kunci KMS yang sama. Tidak ada tindakan lebih lanjut yang diperlukan.

  • Jika Anda tidak memiliki kunci KMS enkripsi simetris yang dikelola pelanggan yang sudah ada di akun Anda, buat kunci KMS dengan mengikuti petunjuk dalam Membuat kunci dalam Panduan Developer AWS Key Management Service .

  • Jika Anda membuat instans CEV atau RDS Custom DB, dan kunci KMS Anda berbeda Akun AWS, pastikan untuk menggunakan. AWS CLI Anda tidak dapat menggunakan AWS konsol dengan kunci KMS lintas akun.

penting

RDS Custom tidak mendukung kunci KMS AWS terkelola.

Pastikan kunci enkripsi simetris Anda memberikan akses ke kms:Decrypt dan kms:GenerateDataKey operasi ke peran AWS Identity and Access Management (IAM) di profil instans IAM Anda. Jika Anda memiliki kunci enkripsi simetris baru di akun Anda, perubahan tidak diperlukan. Jika tidak, pastikan kebijakan kunci enkripsi simetris Anda memberikan akses ke operasi ini.

Untuk informasi selengkapnya, lihat Langkah 4: Konfigurasikan IAM untuk RDS Custom for Oracle.

Untuk informasi selengkapnya tentang mengonfigurasi IAM untuk RDS Custom for Oracle, lihat Langkah 4: Konfigurasikan IAM untuk RDS Custom for Oracle.

Langkah 2: Unduh dan instal AWS CLI

AWS memberi Anda antarmuka baris perintah untuk menggunakan fitur Kustom RDS. Anda dapat menggunakan AWS CLI versi 1 atau versi 2.

Untuk informasi tentang mengunduh dan menginstal AWS CLI, lihat Menginstal atau memperbarui versi terbaru AWS CLI.

Lewati langkah ini jika salah satu hal berikut ini berlaku:

  • Anda berencana untuk mengakses RDS Custom hanya dari file. AWS Management Console

  • Anda telah mengunduh AWS CLI untuk Amazon RDS atau mesin RDS Custom DB yang berbeda.

Langkah 3: Ekstrak CloudFormation template untuk RDS Custom untuk Oracle

Untuk menyederhanakan pengaturan, kami sangat menyarankan Anda menggunakan AWS CloudFormation template untuk membuat CloudFormation tumpukan. Jika Anda berencana untuk mengonfigurasi IAM dan VPC Anda secara manual, lewati langkah ini.

Langkah 3a: Unduh file CloudFormation template

CloudFormation Template adalah deklarasi AWS sumber daya yang membentuk tumpukan. Templat ini disimpan sebagai file JSON.

Untuk mengunduh file CloudFormation template

  1. Buka menu konteks (klik kanan) untuk custom-oracle-iamtautan.zip dan pilih Simpan Tautan Sebagai.

  2. Simpan file tersebut ke komputer Anda.

  3. Ulangi langkah-langkah sebelumnya untuk tautan custom-vpc.zip.

    Jika Anda telah mengonfigurasi VPC untuk RDS Custom, lewati langkah ini.

Langkah 3b: custom-oracle-iam Ekstrak.json

Buka file custom-oracle-iam.zip yang Anda unduh, lalu ekstrak custom-oracle-iam.json file tersebut. Bagian awal file terlihat seperti berikut ini.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "EncryptionKey": {
      "Type": "String",
      "Default": "*",
      "Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances."
    }
  },
  "Resources": {
    "RDSCustomInstanceServiceRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" },
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                "Service": "ec2.amazonaws.com"
              }
            }
          ]
        },...

Langkah 3c: Ekstrak custom-vpc.json

catatan

Jika Anda sudah mengonfigurasi VPC yang ada untuk RDS Custom for Oracle, lewati langkah ini. Untuk informasi selengkapnya, lihat Konfigurasikan VPC Anda secara manual untuk RDS Custom for Oracle.

Buka file custom-vpc.zip yang Anda unduh, lalu ekstrak custom-vpc.json file tersebut. Bagian awal file terlihat seperti berikut ini.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "PrivateVpc": {
      "Type": "AWS::EC2::VPC::Id",
      "Description": "Private VPC Id to use for RDS Custom DB Instances"
    },
    "PrivateSubnets": {
      "Type": "List<AWS::EC2::Subnet::Id>",
      "Description": "Private Subnets to use for RDS Custom DB Instances"
    },
    "RouteTable": {
      "Type": "String",
      "Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint",
      "AllowedPattern": "rtb-[0-9a-z]+"
    }
  },
  "Resources": {
    "DBSubnetGroup": {
      "Type": "AWS::RDS::DBSubnetGroup",
      "Properties": {
        "DBSubnetGroupName": "rds-custom-private",
        "DBSubnetGroupDescription": "RDS Custom Private Network",
        "SubnetIds": {
          "Ref": "PrivateSubnets"
        }
      }
    },...

Langkah 4: Konfigurasikan IAM untuk RDS Custom for Oracle

Anda menggunakan peran IAM atau pengguna IAM (dikenal sebagai entitas IAM) untuk membuat instans DB RDS Custom menggunakan konsol atau AWS CLI. Entitas IAM ini harus memiliki izin yang diperlukan untuk pembuatan instans.

Anda dapat mengonfigurasi IAM menggunakan salah satu CloudFormation atau langkah manual.

penting

Kami sangat menyarankan Anda mengonfigurasi RDS Custom untuk lingkungan Oracle Anda menggunakan. AWS CloudFormation Teknik ini adalah yang termudah dan paling tidak rentan kesalahan.

Konfigurasikan IAM menggunakan CloudFormation

Ketika Anda menggunakan CloudFormation template untuk IAM, itu menciptakan sumber daya yang diperlukan berikut:

  • Profil instans bernama AWSRDSCustomInstanceProfile-region

  • Peran layanan bernama AWSRDSCustomInstanceRole-region

  • Kebijakan akses bernama AWSRDSCustomIamRolePolicy yang dilampirkan ke peran layanan

Untuk mengkonfigurasi IAM menggunakan CloudFormation

  1. Buka CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  2. Mulai wizard Buat Tumpukan, dan pilih Buat Tumpukan.

  3. Pada halaman Buat tumpukan, lakukan hal berikut:

    1. Untuk Siapkan templat, pilih Templat sudah siap.

    2. Untuk Sumber templat, pilih Unggah file templat.

    3. Untuk Pilih file, navigasikan ke, lalu pilih custom-oracle-iam.json.

    4. Pilih Berikutnya.

  4. Pada halaman Tentukan detail tumpukan, lakukan hal berikut:

    1. Untuk Nama tumpukan, masukkan custom-oracle-iam.

    2. Pilih Berikutnya.

  5. Pada Konfigurasikan halaman opsi stack, pilih Berikutnya.

  6. Pada custom-oracle-iam halaman Review, lakukan hal berikut:

    1. Pilih kotak centang Saya memahami bahwa AWS CloudFormation dapat membuat sumber daya IAM dengan nama kustom.

    2. Pilih Kirim.

    CloudFormation membuat peran IAM yang dibutuhkan RDS Custom for Oracle. Di panel kiri, ketika custom-oracle-iam menunjukkan CREATE_COMPLETE, lanjutkan ke langkah berikutnya.

  7. Di panel kiri, pilih custom-oracle-iam. Di panel kanan, lakukan hal berikut:

    1. Pilih Info tumpukan. Tumpukan Anda memiliki ID dalam format arn:aws:cloudformation:region:account-no:stack/custom-oracle-iam/identifier.

    2. Pilih Sumber daya. Anda akan melihat yang berikut ini:

      • Sebuah contoh profil bernama AWSRDSCustomInstanceProfile- region

      • Peran layanan bernama AWSRDSCustomInstanceRole- wilayah

      Saat membuat instans DB RDS Custom, Anda harus menyediakan ID profil instans.

Buat peran IAM dan profil instans secara manual

Konfigurasi paling mudah saat Anda gunakan CloudFormation. Namun, Anda juga dapat mengonfigurasi IAM secara manual. Untuk pengaturan manual, lakukan hal berikut:

Langkah 1: Buat peran IAM AWSRDSCustomInstanceRoleForRdsCustomInstance

Pada langkah ini, Anda membuat peran menggunakan format penamaan AWSRDSCustomInstanceRole-region. Dengan menggunakan kebijakan kepercayaan, Amazon EC2 dapat mengambil peran tersebut. Contoh berikut mengasumsikan bahwa Anda telah mengatur variabel lingkungan $REGION ke Wilayah AWS tempat Anda ingin membuat instans DB Anda.

aws iam create-role \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Effect": "Allow",
          "Principal": {
              "Service": "ec2.amazonaws.com"
          }
        }
      ]
    }'

Langkah 2: Tambahkan kebijakan akses ke AWSRDSCustomInstanceRoleForRdsCustomInstance

Saat Anda menyematkan kebijakan inline dalam peran IAM, kebijakan inline ini digunakan sebagai bagian dari kebijakan akses (izin) peran. Anda membuat kebijakan AWSRDSCustomIamRolePolicy yang mengizinkan Amazon EC2 mengirim dan menerima pesan serta melakukan berbagai tindakan.

Contoh berikut membuat kebijakan akses bernama AWSRDSCustomIamRolePolicy, dan menambahkannya ke peran IAM AWSRDSCustomInstanceRole-region. Contoh ini mengasumsikan bahwa Anda telah menetapkan variabel lingkungan berikut:

$REGION

Atur variabel ini ke Wilayah AWS di mana Anda berencana untuk membuat instance DB Anda.

$ACCOUNT_ID

Tetapkan variabel ini ke Akun AWS nomor Anda.

$KMS_KEY

Atur variabel ini ke Amazon Resource Name (ARN) milik AWS KMS key yang ingin Anda gunakan untuk instans DB RDS Custom. Untuk menentukan lebih dari satu kunci KMS, tambahkan ke bagian Resources dalam ID pernyataan (Sid) 11.

aws iam put-role-policy \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --policy-name AWSRDSCustomIamRolePolicy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeAssociation",
                "ssm:GetDeployablePatchSnapshotForInstance",
                "ssm:GetDocument",
                "ssm:DescribeDocument",
                "ssm:GetManifest",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:ListAssociations",
                "ssm:ListInstanceAssociations",
                "ssm:PutInventory",
                "ssm:PutComplianceItems",
                "ssm:PutConfigurePackageResult",
                "ssm:UpdateAssociationStatus",
                "ssm:UpdateInstanceAssociationStatus",
                "ssm:UpdateInstanceInformation",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2messages:AcknowledgeMessage",
                "ec2messages:DeleteMessage",
                "ec2messages:FailMessage",
                "ec2messages:GetEndpoint",
                "ec2messages:GetMessages",
                "ec2messages:SendReply"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "logs:PutRetentionPolicy",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*"
            ]
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "s3:putObject",
                "s3:getObject",
                "s3:getObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::do-not-delete-rds-custom-*/*"
            ]
        },
        {
            "Sid": "5",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "RDSCustomForOracle/Agent"
                    ]
                }
            }
        },
        {
            "Sid": "6",
            "Effect": "Allow",
            "Action": [
                "events:PutEvents"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "7",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*"
            ]
        },
        {
           "Sid": "8",
           "Effect": "Allow",
           "Action": [
             "s3:ListBucketVersions"
           ],
           "Resource": [
             "arn:aws:s3:::do-not-delete-rds-custom-*"
           ]
         },
         {
            "Sid": "9",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSRDSCustom": "custom-oracle"
                }
            }
          },
          {
            "Sid": "10",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*"
            ]
          },
          {
            "Sid": "11",
            "Effect": "Allow",
            "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
            ],
            "Resource": [
              "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'"
            ]
          },
          {
            "Sid": "12",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:CreateAction": [
                        "CreateSnapshots"
                    ]
                }
            }
        }
    ]
}'

Langkah 3: Buat profil contoh Kustom RDS AWSRDSCustomInstanceProfile

Profil instans adalah kontainer yang menyertakan peran IAM tunggal. RDS Custom menggunakan profil instans untuk meneruskan peran ke instans.

Jika Anda menggunakan CLI untuk membuat peran, Anda dapat membuat peran dan profil instans sebagai tindakan terpisah, dengan nama yang mungkin berbeda. Buat profil instans IAM Anda sebagai berikut, dengan memberinya nama menggunakan format AWSRDSCustomInstanceProfile-region. Contoh berikut mengasumsikan bahwa Anda telah mengatur variabel lingkungan $REGION ke Wilayah AWS di mana Anda ingin membuat instance DB Anda.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION

Langkah 4: Tambahkan AWSRDSCustomInstanceRoleForRdsCustomInstance ke AWSRDSCustomInstanceProfile

Tambahkan peran IAM Anda ke profil instans yang sebelumnya Anda buat. Contoh berikut mengasumsikan bahwa Anda telah mengatur variabel lingkungan $REGION ke Wilayah AWS di mana Anda ingin membuat instance DB Anda.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION \
    --role-name AWSRDSCustomInstanceRole-$REGION

Langkah 5: Berikan izin yang diperlukan ke pengguna atau peran IAM Anda

Pastikan bahwa prinsipal IAM (pengguna atau peran) yang membuat CEV atau instans DB RDS Custom memiliki salah satu kebijakan berikut:

  • Kebijakan AdministratorAccess

  • AmazonRDSFullAccessKebijakan dengan izin yang diperlukan untuk Amazon S3 AWS KMS dan, pembuatan CEV, dan pembuatan instans DB

Izin IAM yang diperlukan untuk Amazon S3 dan AWS KMS

Untuk membuat CEV atau instans DB RDS Custom for Oracle, prinsipal IAM Anda perlu mengakses Amazon S3 dan AWS KMS. Contoh kebijakan JSON berikut memberikan izin yang diperlukan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Untuk informasi selengkapnya tentang izin kms:CreateGrant, lihat Manajemen AWS KMS key.

Izin IAM yang diperlukan untuk membuat CEV

Untuk membuat CEV, prinsipal IAM Anda memerlukan izin tambahan berikut:

s3:GetObjectAcl
s3:GetObject
s3:GetObjectTagging
s3:ListBucket
mediaimport:CreateDatabaseBinarySnapshot

Contoh kebijakan JSON berikut memberikan izin tambahan yang diperlukan untuk mengakses bucket my-custom-installation-files dan kontennya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessToS3MediaBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectAcl",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-custom-installation-files",
                "arn:aws:s3:::my-custom-installation-files/*"
            ]
        },
        {
            "Sid": "PermissionForByom",
            "Effect": "Allow",
            "Action": [
                "mediaimport:CreateDatabaseBinarySnapshot"
            ],
            "Resource": "*"
        }
    ]
}

Anda dapat memberikan izin serupa untuk Amazon S3 ke akun pemanggil menggunakan kebijakan bucket S3.

Izin IAM yang diperlukan untuk membuat instans DB dari CEV

Untuk membuat instans DB RDS Custom for Oracle dari CEV yang ada, prinsipal IAM memerlukan izin tambahan berikut.

iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging

Contoh kebijakan JSON berikut memberikan izin yang diperlukan untuk memvalidasi peran IAM dan mencatat log informasi ke AWS CloudTrail.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        }
    ]
}

Langkah 6: Konfigurasikan VPC Anda untuk RDS Custom for Oracle

Instans DB RDS Custom Anda berada di cloud privat virtual (VPC) yang didasarkan pada layanan Amazon VPC, seperti instans Amazon EC2 atau instans Amazon RDS. Anda menyediakan dan mengonfigurasi VPC Anda sendiri. Tidak seperti RDS Custom for SQL Server, RDS Custom for Oracle tidak membuat daftar kontrol akses atau grup keamanan. Anda harus melampirkan grup keamanan, subnet, dan tabel rute Anda sendiri.

Anda dapat mengonfigurasi virtual private cloud (VPC) menggunakan salah satu CloudFormation atau proses manual.

penting

Kami sangat menyarankan Anda mengonfigurasi RDS Custom untuk lingkungan Oracle Anda menggunakan. AWS CloudFormation Teknik ini adalah yang termudah dan paling tidak rentan kesalahan.

Konfigurasikan VPC Anda menggunakan CloudFormation (disarankan)

Jika Anda telah mengonfigurasi VPC Anda untuk mesin RDS Custom yang berbeda, dan ingin menggunakan kembali VPC yang ada, lewati langkah ini. Bagian ini mengasumsikan hal berikut:

  • Anda telah digunakan CloudFormation untuk membuat profil dan peran instans IAM Anda.

  • Anda mengetahui ID tabel rute Anda.

    Agar menjadi privat, instans DB harus berada dalam subnet privat. Agar menjadi privat, subnet tidak boleh dikaitkan dengan tabel rute yang memiliki gateway internet default. Untuk informasi selengkapnya, lihat Mengonfigurasi tabel rute dalam Panduan Pengguna Amazon VPC.

Ketika Anda menggunakan CloudFormation template untuk VPC Anda, itu menciptakan sumber daya berikut:

  • VPC privat

  • Grup subnet bernama rds-custom-private

  • Titik akhir VPC berikut, yang digunakan instans DB Anda untuk berkomunikasi dengan Layanan AWS dependen:

    • com.amazonaws.region.ec2messages

    • com.amazonaws.region.events

    • com.amazonaws.region.logs

    • com.amazonaws.region.monitoring

    • com.amazonaws.region.s3

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.ssm

    • com.amazonaws.region.ssmmessages

    catatan

    Untuk pengaturan jaringan yang kompleks dengan akun yang ada, sebaiknya Anda mengonfigurasi akses ke layanan dependen secara manual jika akses belum ada. Untuk informasi selengkapnya, lihat Pastikan VPC Anda dapat mengakses dependen Layanan AWS.

Untuk mengkonfigurasi VPC Anda menggunakan CloudFormation

  1. Buka CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

  2. Mulai wizard Buat Tumpukan, dan pilih Buat Tumpukan lalu Dengan sumber daya baru (standar).

  3. Pada halaman Buat tumpukan, lakukan hal berikut:

    1. Untuk Siapkan templat, pilih Templat sudah siap.

    2. Untuk Sumber templat, pilih Unggah file templat.

    3. Untuk Pilih file, navigasikan ke, lalu pilih custom-vpc.json.

    4. Pilih Berikutnya.

  4. Pada halaman Tentukan detail tumpukan, lakukan hal berikut:

    1. Untuk Nama tumpukan, masukkan custom-vpc.

    2. Untuk Parameter, pilih subnet privat yang akan digunakan untuk instans DB RDS Custom.

    3. Pilih ID VPC privat yang akan digunakan untuk instans DB RDS Custom.

    4. Masukkan tabel rute yang dikaitkan dengan subnet privat.

    5. Pilih Berikutnya.

  5. Pada halaman Konfigurasikan opsi tumpukan, pilih Berikutnya.

  6. Pada halaman Tinjau custom-vpc, pilih Kirim.

    CloudFormation mengkonfigurasi VPC pribadi Anda. Di panel kiri, ketika custom-vpc menunjukkan CREATE_COMPLETE, lanjutkan ke langkah berikutnya.

  7. (Opsional) Tinjau detail VPC Anda. Di panel Tumpukan, pilih custom-vpc. Di panel kanan, lakukan hal berikut:

    1. Pilih Info tumpukan. Tumpukan Anda memiliki ID dalam format arn:aws:cloudformation:region:account-no:stack/custom-vpc/identifier.

    2. Pilih Sumber daya. Anda akan melihat grup subnet bernama rds-custom-private dan beberapa titik akhir VPC yang menggunakan format penamaan vpce-string. Setiap titik akhir sesuai dengan RDS Custom Layanan AWS yang perlu berkomunikasi dengannya. Untuk informasi selengkapnya, lihat Pastikan VPC Anda dapat mengakses dependen Layanan AWS.

    3. Pilih Parameter. Anda akan melihat subnet privat, VPC privat, dan tabel rute yang Anda tentukan saat Anda membuat tumpukan. Saat Anda membuat instans DB, Anda harus menyediakan ID VPC dan grup subnet.

Konfigurasikan VPC Anda secara manual untuk RDS Custom for Oracle

Sebagai alternatif untuk mengotomatiskan pembuatan VPC, Anda dapat AWS CloudFormation mengonfigurasi VPC Anda secara manual. Opsi ini mungkin yang terbaik jika Anda memiliki pengaturan jaringan kompleks yang menggunakan sumber daya yang ada.

Pastikan VPC Anda dapat mengakses dependen Layanan AWS

RDS Custom mengirimkan komunikasi dari instans DB Anda ke Layanan AWS lain. Pastikan layanan berikut dapat diakses dari subnet tempat Anda membuat instans RDS Custom DB:

  • Amazon CloudWatch

  • CloudWatch Log Amazon

  • CloudWatch Acara Amazon

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Jika membuat penerapan Multi-AZ

  • Amazon Simple Queue Service

Jika RDS Custom tidak dapat berkomunikasi dengan layanan yang diperlukan, RDS Custom akan menerbitkan peristiwa berikut:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Untuk menghindari incompatible-network kesalahan, pastikan komponen VPC terlibat dalam komunikasi antara instans RDS Custom DB Anda dan Layanan AWS memenuhi persyaratan berikut:

  • Instans DB dapat membuat koneksi keluar pada port 443 ke Layanan AWS lainnya.

  • VPC mengizinkan respons masuk untuk permintaan yang berasal dari instans DB RDS Custom Anda.

  • RDS Custom dapat secara tepat me-resolve nama domain titik akhir untuk masing-masing Layanan AWS.

Jika Anda sudah mengonfigurasi VPC untuk mesin DB RDS Custom yang berbeda, Anda dapat menggunakan kembali VPC tersebut dan melewati proses ini.

Konfigurasikan layanan metadata instans

Pastikan instans Anda dapat melakukan hal berikut:

  • Mengakses layanan metadata instans menggunakan Instance Metadata Service Version 2 (IMDSv2).

  • Memungkinkan komunikasi keluar melalui port 80 (HTTP) ke alamat IP tautan IMDS.

  • Meminta metadata instans dari http://169.254.169.254, tautan IMDSv2.

Untuk informasi selengkapnya, lihat Menggunakan IMDSv2 di Panduan Pengguna Amazon EC2.

Otomatisasi RDS Custom for Oracle menggunakan IMDSv2 secara default, dengan mengatur HttpTokens=enabled di instans Amazon EC2 yang mendasarinya. Namun, Anda dapat menggunakan IMDSv1 jika ingin. Untuk informasi selengkapnya, lihat Mengonfigurasi opsi metadata instans di Panduan Pengguna Amazon EC2.