Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan lingkungan Anda untuk Amazon RDS Custom for SQL Server
Sebelum Anda membuat dan mengelola instans DB untuk instans DB Amazon RDS Custom for SQL Server, pastikan untuk melakukan tugas-tugas berikut.
Daftar Isi
catatan
Untuk step-by-step tutorial tentang cara mengatur prasyarat dan meluncurkan Amazon RDS Custom for SQL Server, lihat Memulai Amazon RDS Custom for SQL Server menggunakan CloudFormation template (Pengaturan jaringan) dan Jelajahi prasyarat yang diperlukan
Prasyarat untuk menyiapkan RDS Custom for SQL Server
Sebelum membuat instans DB RDS Custom for SQL Server, pastikan lingkungan Anda memenuhi persyaratan yang dijelaskan dalam topik ini. Anda juga dapat menggunakan CloudFormation template untuk mengatur prasyarat dalam Anda. Akun AWS Untuk informasi selengkapnya, silakan lihat Mengkonfigurasi dengan AWS CloudFormation
Kustom RDS untuk SQL Server mengharuskan Anda mengonfigurasi prasyarat berikut:
Konfigurasikan izin AWS Identity and Access Management (IAM) yang diperlukan untuk pembuatan instance. Ini adalah pengguna AWS Identity and Access Management (IAM) atau peran yang diperlukan untuk membuat
create-db-instance
permintaan ke RDS.-
Konfigurasikan sumber daya prasyarat yang diperlukan oleh RDS Custom untuk instans SQL Server DB:
-
Konfigurasikan AWS KMS kunci yang diperlukan untuk enkripsi instance RDS Custom. RDS Custom memerlukan kunci yang dikelola pelanggan pada saat pembuatan instance untuk enkripsi. Kunci KMS ARN, ID, alias ARN, atau nama alias diteruskan
kms-key-id
sebagai parameter dalam permintaan untuk membuat instance RDS Custom DB. Konfigurasikan izin yang diperlukan di dalam RDS Custom untuk instans SQL Server DB. RDS Custom melampirkan profil instance ke instans DB saat pembuatan dan menggunakannya untuk otomatisasi dalam instans DB. Nama profil instance diatur ke
custom-iam-instance-profile
dalam permintaan pembuatan Kustom RDS. Anda dapat membuat profil instans dari AWS Management Console atau secara manual membuat profil instans Anda. Untuk informasi selengkapnya, silakan lihat Pembuatan profil instans otomatis menggunakan AWS Management Console dan Membuat profil instans dan peran IAM Anda secara manual.Konfigurasikan pengaturan jaringan sesuai persyaratan RDS Custom untuk SQL Server. Instans Kustom RDS berada di subnet (dikonfigurasi dengan grup subnet DB) yang Anda berikan saat pembuatan instans. Subnet ini harus memungkinkan instans Kustom RDS untuk berkomunikasi dengan layanan yang diperlukan untuk otomatisasi RDS.
-
catatan
Untuk persyaratan yang disebutkan di atas, pastikan tidak ada kebijakan kontrol layanan (SCPs) yang membatasi izin tingkat akun.
Jika akun yang Anda gunakan adalah bagian dari AWS Organisasi, akun tersebut mungkin memiliki kebijakan kontrol layanan (SCPs) yang membatasi izin tingkat akun. Pastikan SCPs tidak membatasi izin pada pengguna dan peran yang Anda buat menggunakan prosedur berikut.
Untuk informasi selengkapnya SCPs, lihat Kebijakan kontrol layanan (SCPs) di Panduan AWS Organizations Pengguna. Gunakan AWS CLI perintah deskripsikan organisasi untuk memeriksa apakah akun Anda adalah bagian dari Organisasi. AWS
Untuk informasi selengkapnya tentang AWS Organizations, lihat Apa itu AWS Organizations dalam Panduan AWS Organizations Pengguna.
Untuk persyaratan umum yang berlaku untuk RDS Custom for SQL Server, lihat Persyaratan umum untuk RDS Custom for SQL Server.
Pembuatan profil instans otomatis menggunakan AWS Management Console
RDS Custom mengharuskan Anda membuat dan mengonfigurasi profil instans untuk meluncurkan instans RDS Custom for SQL Server DB apa pun. Gunakan AWS Management Console untuk membuat dan melampirkan profil instance baru dalam satu langkah. Opsi ini tersedia di bawah bagian Keamanan kustom RDS di halaman Buat database, Kembalikan snapshot, dan Kembalikan ke titik di halaman konsol waktu. Pilih Buat profil instance baru untuk memberikan akhiran nama profil instance. AWS Management Console Membuat profil instance baru yang memiliki izin yang diperlukan untuk tugas otomatisasi Kustom RDS. Untuk membuat profil instans baru secara otomatis, AWS Management Console pengguna yang masuk harus memilikiiam:CreateInstanceProfile
,, iam:AddRoleToInstanceProfile
iam:CreateRole
, dan izin. iam:AttachRolePolicy
catatan
Opsi ini hanya tersedia di AWS Management Console. Jika Anda menggunakan CLI atau SDK, gunakan CloudFormation template RDS Custom provided atau buat profil instance secara manual. Untuk informasi selengkapnya, lihat Membuat profil instans dan peran IAM Anda secara manual.
Langkah 1: Berikan izin yang diperlukan untuk kepala sekolah IAM Anda
Pastikan Anda memiliki akses yang cukup untuk membuat instance RDS Custom. Peran IAM atau pengguna IAM (disebut sebagai prinsipal IAM) untuk membuat instans RDS Custom for SQL Server DB menggunakan konsol atau CLI harus memiliki salah satu dari kebijakan berikut untuk pembuatan instans DB yang berhasil:
-
Kebijakan
AdministratorAccess
-
Kebijakan
AmazonRDSFullAccess
dengan izin tambahan berikut:iam:SimulatePrincipalPolicy cloudtrail:CreateTrail cloudtrail:StartLogging s3:CreateBucket s3:PutBucketPolicy s3:PutBucketObjectLockConfiguration s3:PutBucketVersioning kms:CreateGrant kms:DescribeKey kms:Decrypt kms:ReEncryptFrom kms:ReEncryptTo kms:GenerateDataKeyWithoutPlaintext kms:GenerateDataKey ec2:DescribeImages ec2:RunInstances ec2:CreateTags
RDS Custom menggunakan izin ini selama pembuatan instance. Izin ini mengonfigurasi sumber daya di akun Anda yang diperlukan untuk operasi Kustom RDS.
Untuk informasi selengkapnya tentang izin
kms:CreateGrant
, lihat AWS KMS key manajemen.
Contoh kebijakan JSON berikut memberikan izin yang diperlukan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ValidateIamRole", "Effect": "Allow", "Action": "iam:SimulatePrincipalPolicy", "Resource": "*" }, { "Sid": "CreateCloudTrail", "Effect": "Allow", "Action": [ "cloudtrail:CreateTrail", "cloudtrail:StartLogging" ], "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*" }, { "Sid": "CreateS3Bucket", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketPolicy", "s3:PutBucketObjectLockConfiguration", "s3:PutBucketVersioning" ], "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*" }, { "Sid": "CreateKmsGrant", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" } ] }
Prinsipal IAM memerlukan izin tambahan berikut untuk bekerja dengan versi mesin khusus ()CEVs:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ConfigureKmsKeyEncryptionPermission", "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:DescribeKey", "kms:Decrypt", "kms:ReEncryptFrom", "kms:ReEncryptTo", "kms:GenerateDataKeyWithoutPlaintext", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:
region
:account_id
:key/key_id
" }, { "Sid": "CreateEc2Instance", "Effect": "Allow", "Action": [ "ec2:DescribeImages", "ec2:RunInstances", "ec2:CreateTags" ], "Resource": "*" } ] }
Ganti account_id
dengan ID akun yang Anda gunakan untuk membuat instance Anda. Ganti region
dengan yang Wilayah AWS Anda gunakan untuk membuat instance Anda. Ganti key_id
dengan ID kunci terkelola pelanggan Anda. Anda dapat menambahkan beberapa kunci sesuai kebutuhan.
Selain itu, prinsipal IAM memerlukan izin iam:PassRole
pada peran IAM. Izin ini harus dilampirkan ke profil instans yang diteruskan dalam parameter custom-iam-instance-profile
dalam permintaan untuk membuat instans DB RDS Custom. Profil instans dan peran terlampirnya dibuat nanti dalam Langkah 2: Konfigurasikan jaringan, profil contoh, dan enkripsi.
catatan
Pastikan izin yang tercantum sebelumnya tidak dibatasi oleh kebijakan kontrol layanan (SCPs), batas izin, atau kebijakan sesi yang terkait dengan prinsipal IAM.
Langkah 2: Konfigurasikan jaringan, profil contoh, dan enkripsi
Anda dapat mengonfigurasi peran profil instans IAM, virtual private cloud (VPC), AWS KMS dan kunci enkripsi simetris dengan menggunakan salah satu dari proses berikut:
-
Mengkonfigurasi dengan AWS CloudFormation (direkomendasikan)
catatan
Jika akun Anda merupakan bagian dari akun apa pun AWS Organizations, pastikan bahwa izin yang diperlukan oleh peran profil instans tidak dibatasi oleh kebijakan kontrol layanan (SCPs).
Konfigurasi jaringan dalam topik ini bekerja paling baik dengan instans DB yang tidak dapat diakses publik. Anda tidak dapat terhubung langsung ke instans DB tersebut dari luar VPC.
Mengkonfigurasi dengan AWS CloudFormation
Untuk menyederhanakan pengaturan, Anda dapat menggunakan file AWS CloudFormation template untuk membuat CloudFormation tumpukan. CloudFormation Template membuat semua jaringan, profil instance, dan sumber daya enkripsi sesuai dengan persyaratan RDS Custom.
Untuk mempelajari cara membuat tumpukan, lihat Membuat tumpukan di AWS CloudFormation konsol di Panduan AWS CloudFormation Pengguna.
Untuk tutorial tentang cara meluncurkan Amazon RDS Custom for SQL Server menggunakan AWS CloudFormation template, lihat Memulai Amazon RDS Custom for SQL Server menggunakan AWS CloudFormation template
Topik
Parameter yang dibutuhkan oleh CloudFormation
Parameter berikut diperlukan untuk mengonfigurasi sumber daya prasyarat Kustom RDS dengan: CloudFormation
Grup parameter | Nama parameter | nilai default | Deskripsi |
---|---|---|---|
Konfigurasi Ketersediaan | Pilih konfigurasi ketersediaan untuk penyiapan prasyarat | Multi-AZ | Tentukan apakah akan mengatur prasyarat dalam konfigurasi Single-AZ atau Multi-AZ untuk instans Kustom RDS. Anda harus menggunakan konfigurasi Multi-AZ jika Anda memerlukan setidaknya satu instans DB Multi-AZ dalam konfigurasi ini |
Konfigurasi Jaringan | IPv4 Blok CIDR untuk VPC | 10.0.0.0/16 | Tentukan blok IPv4 CIDR (atau rentang alamat IP) untuk VPC Anda. VPC ini dikonfigurasi untuk membuat dan bekerja dengan instans RDS Custom DB. |
IPv4 Blok CIDR untuk 1 dari 2 subnet pribadi | 10.0.128.0/20 | Tentukan blok IPv4 CIDR (atau rentang alamat IP) untuk subnet pribadi pertama Anda. Ini adalah salah satu dari dua subnet di mana instance RDS Custom DB dapat dibuat. Ini adalah subnet pribadi tanpa akses ke internet. |
|
IPv4 Blok CIDR untuk 2 dari 2 subnet pribadi | 10.0.144.0/20 | Tentukan blok IPv4 CIDR (atau rentang alamat IP) untuk subnet pribadi kedua Anda. Ini adalah salah satu dari dua subnet di mana instance RDS Custom DB dapat dibuat. Ini adalah subnet pribadi tanpa akses ke internet. |
|
IPv4 Blok CIDR untuk subnet publik | 10.0.0.0/20 | Tentukan blok IPv4 CIDR (atau rentang alamat IP) untuk subnet publik Anda. Ini adalah salah satu subnet di mana EC2 instance dapat terhubung dengan instans RDS Custom DB dapat dibuat. Ini adalah subnet publik dengan akses ke internet. |
|
Konfigurasi Akses RDP | IPv4 Blok CIDR dari sumber Anda | ‐ | Tentukan blok IPv4 CIDR (atau rentang alamat IP) dari sumber Anda. Ini adalah rentang IP dari mana Anda membuat koneksi RDP ke EC2 instance di subnet publik. Jika tidak diatur, koneksi RDP ke EC2 instance tidak dikonfigurasi. |
Siapkan akses RDP ke RDS Kustom untuk instance SQL Server | Tidak | Tentukan apakah akan mengaktifkan koneksi RDP dari EC2 instance ke RDS Custom for SQL Server instance. Secara default, koneksi RDP dari EC2 instance ke instans DB tidak dikonfigurasi. |
Berhasil membuat CloudFormation tumpukan menggunakan pengaturan default membuat sumber daya berikut di Anda Akun AWS:
-
Kunci KMS enkripsi simetris untuk enkripsi data yang dikelola oleh RDS Custom.
-
Profil instans dikaitkan dengan peran IAM
AmazonRDSCustomInstanceProfileRolePolicy
untuk memberikan izin yang diperlukan oleh RDS Custom. Untuk informasi selengkapnya, lihat Amazon RDSCustom ServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola. -
VPC dengan rentang CIDR ditentukan sebagai parameter. CloudFormation Nilai default-nya adalah
10.0.0.0/16
. -
Dua subnet privat dengan rentang CIDR yang ditentukan dalam parameter, dan dua Zona Ketersediaan yang berbeda di Wilayah AWS. Nilai default untuk subnet CIDRs adalah
10.0.128.0/20
dan10.0.144.0/20
. Satu subnet publik dengan rentang CIDR yang ditentukan dalam parameter. Nilai default untuk subnet CIDR adalah 10.0.0.0/20. EC2 Instance berada di subnet ini dan dapat digunakan untuk terhubung ke instance RDS Custom.
-
Opsi DHCP yang diatur untuk VPC dengan resolusi nama domain ke server Sistem Nama Domain (DNS) Amazon.
-
Tabel rute untuk dikaitkan dengan dua subnet privat dan tanpa akses ke internet.
Tabel rute untuk dikaitkan dengan subnet publik dan memiliki akses ke internet.
Internet gateway yang terkait dengan VPC untuk memungkinkan akses internet ke subnet publik.
-
Network Access Control List (ACL) untuk diasosiasikan dengan dua subnet pribadi dan akses dibatasi ke port HTTPS dan DB dalam VPC.
-
Grup keamanan VPC untuk dikaitkan dengan instans RDS Custom. Akses dibatasi untuk HTTPS keluar ke Layanan AWS titik akhir yang diperlukan oleh RDS Custom dan port DB masuk dari EC2 grup keamanan instans.
Grup keamanan VPC akan dikaitkan dengan EC2 instance di subnet publik. Akses dibatasi untuk port DB keluar ke grup keamanan instans Kustom RDS.
-
Grup keamanan VPC akan dikaitkan dengan titik akhir VPC yang dibuat untuk titik akhir yang diperlukan oleh RDS Layanan AWS Custom.
-
Grup subnet DB tempat instans RDS Custom dibuat. Dua subnet pribadi yang dibuat oleh template ini ditambahkan ke grup subnet DB.
-
Titik akhir VPC untuk setiap titik akhir yang diperlukan oleh Layanan AWS RDS Custom.
Menyetel konfigurasi ketersediaan ke multi-az akan membuat sumber daya berikut selain daftar di atas:
Aturan ACL jaringan memungkinkan komunikasi antara subnet pribadi.
Akses masuk dan keluar ke port Multi-AZ dalam grup keamanan VPC yang terkait dengan instans Kustom RDS.
Titik akhir VPC ke titik akhir AWS layanan yang diperlukan untuk komunikasi multi-AZ.
Selain itu, pengaturan konfigurasi akses RDP menciptakan sumber daya berikut:
Mengkonfigurasi akses RDP ke subnet publik dari alamat IP sumber Anda:
Aturan ACL jaringan yang memungkinkan koneksi RDP dari IP sumber Anda ke subnet publik.
Akses masuk ke port RDP dari IP sumber Anda ke grup keamanan VPC yang terkait dengan instance. EC2
Mengkonfigurasi akses RDP dari EC2 instance di subnet publik ke Instans Kustom RDS di subnet pribadi:
Aturan ACL jaringan memungkinkan koneksi RDP dari subnet publik ke subnet pribadi.
Akses masuk ke port RDP dari grup keamanan VPC yang terkait dengan instance EC2 ke grup keamanan VPC yang terkait dengan Instans Kustom RDS.
Gunakan prosedur berikut untuk membuat CloudFormation tumpukan untuk RDS Custom for SQL Server.
Unduh file AWS CloudFormation templat
Untuk mengunduh file templat
-
Buka menu konteks (klik kanan) untuk custom-sqlserver-onboardtautan.zip dan pilih Simpan Tautan Sebagai.
-
Simpan dan ekstrak file ke komputer Anda.
Mengkonfigurasi sumber daya menggunakan CloudFormation
Untuk mengkonfigurasi sumber daya menggunakan CloudFormation
-
Buka CloudFormation konsol di https://console.aws.amazon.com/cloudformation
. -
Untuk memulai wizard Buat Tumpukan, pilih Buat Tumpukan.
Halaman Buat tumpukan muncul.
-
Untuk Prasyarat - Siapkan templat, pilih Template sudah siap.
-
Untuk Tentukan templat, lakukan hal berikut:
-
Untuk Sumber templat, pilih Unggah file templat.
-
Untuk Pilih file, navigasikan ke dan pilih file yang benar.
-
-
Pilih Berikutnya.
Halaman Tentukan detail tumpukan muncul.
-
Untuk Nama tumpukan, masukkan
rds-custom-sqlserver
. -
Untuk Parameter, lakukan hal berikut:
-
Untuk mempertahankan opsi default, pilih Berikutnya.
-
Untuk mengubah opsi, pilih konfigurasi ketersediaan yang sesuai, konfigurasi jaringan, dan konfigurasi akses RDP, lalu pilih Berikutnya.
Baca deskripsi setiap parameter dengan cermat sebelum mengubah parameter.
catatan
Jika Anda memilih untuk membuat setidaknya satu instance Multi-AZ di CloudFormation tumpukan ini, pastikan parameter CloudFormation tumpukan Pilih konfigurasi ketersediaan untuk penyiapan prasyarat diatur ke.
Multi-AZ
Jika Anda membuat CloudFormation tumpukan sebagai Single-AZ, perbarui CloudFormation tumpukan ke konfigurasi Multi-AZ sebelum membuat instance Multi-AZ pertama. -
-
Pada Konfigurasikan halaman opsi stack, pilih Berikutnya.
-
Pada halaman Tinjauan rds-custom-sqlserver, lakukan hal berikut:
-
Untuk Kemampuan, pilih kotak centang Saya memahami bahwa AWS CloudFormation dapat membuat sumber daya IAM dengan nama kustom.
-
Pilih Buat tumpukan.
-
catatan
Jangan memperbarui sumber daya yang dibuat dari AWS CloudFormation tumpukan ini langsung dari halaman sumber daya. Ini mencegah Anda menerapkan pembaruan masa depan ke sumber daya ini dengan menggunakan AWS CloudFormation templat.
CloudFormation menciptakan sumber daya yang dibutuhkan RDS Custom untuk SQL Server. Jika pembuatan tumpukan gagal, baca tab Peristiwa untuk melihat pembuatan sumber daya mana yang gagal dan alasan statusnya.
Tab Output untuk CloudFormation tumpukan ini di konsol harus memiliki informasi tentang semua sumber daya yang akan diteruskan sebagai parameter untuk membuat instance RDS Custom untuk SQL Server DB. Pastikan untuk menggunakan grup keamanan VPC dan grup subnet DB yang dibuat oleh CloudFormation untuk instans RDS Custom DB. Secara default, RDS mencoba melampirkan grup keamanan VPC default, yang mungkin tidak memiliki akses yang Anda butuhkan.
Jika Anda biasa CloudFormation membuat sumber daya, Anda dapat melewatiMengonfigurasi secara manual.
Anda juga dapat memperbarui beberapa konfigurasi pada CloudFormation tumpukan setelah pembuatan. Konfigurasi yang dapat diperbarui adalah:
Konfigurasi Ketersediaan untuk RDS Kustom untuk SQL Server
Pilih konfigurasi ketersediaan untuk pengaturan prasyarat: Perbarui parameter ini untuk beralih antara konfigurasi Single-AZ dan Multi-AZ. Jika Anda menggunakan CloudFormation tumpukan ini untuk setidaknya satu instance Multi-AZ, Anda harus memperbarui tumpukan untuk memilih konfigurasi Multi-AZ.
Konfigurasi Akses RDP untuk Kustom RDS untuk SQL Server
IPv4 Blok CIDR sumber Anda: Anda dapat memperbarui blok IPv4 CIDR (atau rentang alamat IP) sumber Anda dengan memperbarui parameter ini. Menyetel parameter ini menjadi kosong akan menghapus konfigurasi akses RDP dari blok CIDR sumber Anda ke subnet publik.
Setup akses RDP ke RDS Custom for SQL Server: Aktifkan atau nonaktifkan koneksi RDP dari EC2 instance ke RDS Custom for SQL Server instance.
Anda dapat menghapus CloudFormation tumpukan setelah menghapus semua instance Kustom RDS yang menggunakan sumber daya dari tumpukan. RDS Custom tidak melacak CloudFormation tumpukan, oleh karena itu tidak memblokir penghapusan tumpukan ketika ada instance DB yang menggunakan sumber daya tumpukan. Pastikan tidak ada instans RDS Custom DB yang menggunakan sumber daya tumpukan saat menghapus tumpukan.
catatan
Saat Anda menghapus CloudFormation tumpukan, semua sumber daya yang dibuat oleh tumpukan akan dihapus kecuali kunci KMS. Kunci KMS masuk ke status penghapusan tertunda dan dihapus setelah 30 hari. Untuk menjaga kunci KMS, lakukan CancelKeyDeletionoperasi selama masa tenggang 30 hari.
Mengonfigurasi secara manual
Jika Anda memilih untuk mengonfigurasi sumber daya secara manual, lakukan tugas berikut.
catatan
Untuk menyederhanakan pengaturan, Anda dapat menggunakan file AWS CloudFormation template untuk membuat CloudFormation tumpukan daripada konfigurasi manual. Untuk informasi selengkapnya, lihat Mengkonfigurasi dengan AWS CloudFormation.
Anda juga dapat menggunakan AWS CLI untuk menyelesaikan bagian ini. Jika demikian, unduh dan instal CLI terbaru.
Topik
Pastikan Anda memiliki kunci enkripsi AWS KMS simetris
Enkripsi simetris AWS KMS key diperlukan untuk RDS Custom. Saat Anda membuat instance RDS Custom for SQL Server DB, pastikan untuk menyediakan pengidentifikasi kunci KMS sebagai parameter. kms-key-id
Untuk informasi selengkapnya, lihat Membuat dan menghubungkan ke instans DB untuk Amazon RDS Custom for SQL Server.
Anda memiliki opsi berikut:
-
Jika Anda memiliki kunci KMS terkelola pelanggan yang ada di Anda Akun AWS, Anda dapat menggunakannya dengan RDS Custom. Tidak ada tindakan lebih lanjut yang diperlukan.
-
Jika Anda telah membuat kunci KMS enkripsi simetris yang dikelola pelanggan untuk mesin RDS Custom yang berbeda, Anda dapat menggunakan kembali kunci KMS yang sama. Tidak ada tindakan lebih lanjut yang diperlukan.
-
Jika Anda tidak memiliki kunci KMS enkripsi simetris yang dikelola pelanggan yang sudah ada di akun Anda, buat kunci KMS dengan mengikuti petunjuk dalam Membuat kunci dalam Panduan Developer AWS Key Management Service .
-
Jika Anda membuat instans CEV atau RDS Custom DB, dan kunci KMS Anda berbeda Akun AWS, pastikan untuk menggunakan. AWS CLI Anda tidak dapat menggunakan AWS konsol dengan kunci KMS lintas akun.
penting
RDS Custom tidak mendukung kunci KMS AWS terkelola.
Pastikan kunci enkripsi simetris Anda memberikan akses ke kms:Decrypt
dan kms:GenerateDataKey
operasi ke peran AWS Identity and Access Management (IAM) di profil instans IAM Anda. Jika Anda memiliki kunci enkripsi simetris baru di akun Anda, perubahan tidak diperlukan. Jika tidak, pastikan kebijakan kunci enkripsi simetris Anda memberikan akses ke operasi ini.
Untuk informasi selengkapnya, lihat Langkah 4: Konfigurasikan IAM untuk RDS Custom for Oracle.
Membuat profil instans dan peran IAM Anda secara manual
Anda dapat membuat profil instans secara manual dan menggunakannya untuk meluncurkan instans RDS Custom. Jika Anda berencana untuk membuat instance di AWS Management Console, lewati bagian ini. AWS Management Console Ini memungkinkan Anda untuk membuat dan melampirkan profil instance ke instans RDS Custom DB Anda. Untuk informasi selengkapnya, lihat Pembuatan profil instans otomatis menggunakan AWS Management Console.
Saat Anda membuat profil instance secara manual, berikan nama profil instance sebagai custom-iam-instance-profile
parameter ke perintah create-db-instance
CLI Anda. RDS Custom menggunakan peran yang terkait dengan profil instance ini untuk menjalankan otomatisasi guna mengelola instance.
Untuk membuat profil instans IAM dan peran IAM untuk RDS Custom for SQL Server
-
Buat peran IAM bernama
AWSRDSCustomSQLServerInstanceRole
dengan kebijakan kepercayaan yang memungkinkan Amazon EC2 mengambil peran ini. -
Tambahkan Kebijakan AWS Terkelola
AmazonRDSCustomInstanceProfileRolePolicy
keAWSRDSCustomSQLServerInstanceRole
. -
Buat profil instans IAM untuk RDS Custom for SQL Server yang bernama
AWSRDSCustomSQLServerInstanceProfile
. -
Tambahkan peran
AWSRDSCustomSQLServerInstanceRole
ke profil instans.
Buat peran AWSRDSCustom SQLServer InstanceRole IAM
Contoh berikut membuat peran AWSRDSCustomSQLServerInstanceRole
. Kebijakan kepercayaan memungkinkan Amazon EC2 mengambil peran.
aws iam create-role \ --role-name AWSRDSCustomSQLServerInstanceRole \ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" } } ] }'
Menambahkan kebijakan akses ke AWSRDSCustom SQLServer InstanceRole
Untuk memberikan izin yang diperlukan, lampirkan kebijakan AWS terkelola AmazonRDSCustomInstanceProfileRolePolicy
keAWSRDSCustomSQLServerInstanceRole
. AmazonRDSCustomInstanceProfileRolePolicy
memungkinkan instans Kustom RDS untuk mengirim dan menerima pesan, dan melakukan berbagai tindakan otomatisasi.
catatan
Pastikan bahwa izin dalam kebijakan akses tidak dibatasi oleh SCPs atau batas izin yang terkait dengan peran profil instance.
Contoh berikut melampirkan kebijakan AWS terkelola AWSRDSCustomSQLServerIamRolePolicy
ke AWSRDSCustomSQLServerInstanceRole
peran tersebut.
aws iam attach-role-policy \ --role-name AWSRDSCustomSQLServerInstanceRole \ --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy
Buat profil instans RDS Custom for SQL Server
Profil instans adalah kontainer yang menyertakan peran IAM tunggal. RDS Custom menggunakan profil instans untuk meneruskan peran ke instans.
Jika Anda menggunakan AWS Management Console untuk membuat peran untuk Amazon EC2, konsol akan secara otomatis membuat profil instance dan memberinya nama yang sama dengan peran saat peran dibuat. Buat profil instans Anda sebagai berikut, dengan memberinya nama AWSRDSCustomSQLServerInstanceProfile
.
aws iam create-instance-profile \ --instance-profile-name AWSRDSCustomSQLServerInstanceProfile
Tambahkan AWSRDSCustom SQLServer InstanceRole ke profil instans RDS Custom for SQL Server
Tambahkan AWSRDSCustomInstanceRoleForRdsCustomInstance
peran ke AWSRDSCustomSQLServerInstanceProfile
profil yang dibuat sebelumnya.
aws iam add-role-to-instance-profile \ --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \ --role-name AWSRDSCustomSQLServerInstanceRole
Mengonfigurasi VPC Anda secara manual
Instans RDS Custom DB Anda berada di cloud pribadi virtual (VPC) berdasarkan layanan VPC Amazon, seperti instans Amazon atau EC2 instans Amazon RDS. Anda menyediakan dan mengonfigurasi VPC Anda sendiri. Dengan demikian, Anda memiliki kontrol penuh atas pengaturan jaringan instans Anda.
RDS Custom mengirimkan komunikasi dari instans DB Anda ke Layanan AWS lain. Pastikan layanan berikut dapat diakses dari subnet tempat Anda membuat instans RDS Custom DB:
-
Amazon CloudWatch (
com.amazonaws.
)region
.monitoring -
CloudWatch Log Amazon (
com.amazonaws.
)region
.logs -
CloudWatch Acara Amazon (
com.amazonaws.
)region
.events -
Amazon EC2 (
com.amazonaws.
danregion
.ec2com.amazonaws.
)region
.ec2messages -
Amazon EventBridge (
com.amazonaws.
)region
.events -
Amazon S3 ()
com.amazonaws.
region
.s3 -
AWS Secrets Manager (
com.amazonaws.
)region
.secretsmanager -
AWS Systems Manager (
com.amazonaws.
danregion
.ssmcom.amazonaws.
)region
.ssmmessages
Jika membuat penerapan Multi-AZ
Layanan Antrian Sederhana Amazon ()
com.amazonaws.
region
.sqs
Jika RDS Custom tidak dapat berkomunikasi dengan layanan yang diperlukan, RDS Custom akan menerbitkan peristiwa berikut:
Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"
Untuk menghindari incompatible-network
kesalahan, pastikan komponen VPC terlibat dalam komunikasi antara instans RDS Custom DB Anda dan Layanan AWS memenuhi persyaratan berikut:
-
Instans DB dapat membuat koneksi keluar pada port 443 ke Layanan AWS lainnya.
-
VPC mengizinkan respons masuk untuk permintaan yang berasal dari instans DB RDS Custom Anda.
-
RDS Custom dapat secara tepat me-resolve nama domain titik akhir untuk masing-masing Layanan AWS.
Jika Anda sudah mengonfigurasi VPC untuk mesin DB RDS Custom yang berbeda, Anda dapat menggunakan kembali VPC tersebut dan melewati proses ini.
Topik
Konfigurasikan grup keamanan VPC
Grup keamanan bertindak sebagai firewall virtual untuk instans VPC, yang mengontrol lalu lintas masuk dan keluar. Instans RDS Custom DB memiliki grup keamanan yang terpasang pada antarmuka jaringannya yang melindungi instance. Pastikan grup keamanan Anda mengizinkan lalu lintas antara RDS Custom dan lainnya Layanan AWS melalui HTTPS. Anda meneruskan grup keamanan ini sebagai vpc-security-group-ids
parameter dalam permintaan pembuatan instance.
Untuk mengonfigurasi grup keamanan Anda untuk RDS Custom
-
Izinkan RDS Custom untuk menggunakan grup keamanan default, atau buat grup keamanan Anda sendiri.
Untuk petunjuk mendetail, lihat Berikan akses ke instans DB Anda VPC dengan membuat grup keamanan.
-
Pastikan grup keamanan Anda mengizinkan koneksi keluar pada port 443. RDS Custom membutuhkan port ini untuk berkomunikasi dengan Layanan AWS dependen.
-
Jika Anda memiliki VPC privat dan menggunakan titik akhir VPC, pastikan grup keamanan yang terkait dengan instans DB mengizinkan koneksi keluar pada port 443 ke titik akhir VPC. Pastikan juga bahwa grup keamanan yang terkait dengan VPC mengizinkan koneksi masuk pada port 443 dari instans DB.
Jika koneksi masuk tidak diizinkan, instans Kustom RDS tidak dapat terhubung ke titik akhir dan AWS Systems Manager Amazon EC2 . Untuk informasi selengkapnya, lihat Membuat titik akhir Cloud Privat Virtual dalam Panduan Pengguna AWS Systems Manager .
-
Untuk instans RDS Custom for SQL Server Multi-AZ, pastikan bahwa grup keamanan yang terkait dengan instans DB memungkinkan koneksi masuk dan keluar pada port 1120 ke grup keamanan ini sendiri. Ini diperlukan untuk koneksi peer host pada Multi-AZ RDS Custom untuk instans SQL Server DB.
Untuk informasi selengkapnya tentang grup keamanan, lihat Grup keamanan untuk VPC Anda dalam Panduan Developer Amazon VPC.
Konfigurasikan titik akhir untuk dependen Layanan AWS
Kami menyarankan Anda menambahkan titik akhir untuk setiap layanan ke VPC Anda menggunakan petunjuk berikut. Namun, Anda dapat menggunakan solusi apa pun yang memungkinkan VPC Anda berkomunikasi dengan titik akhir AWS layanan. Misalnya, Anda dapat menggunakan Network Address Translation (NAT) atau AWS Direct Connect.
Untuk mengonfigurasi titik akhir yang Layanan AWS dengannya RDS Custom berfungsi
Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/
-
Pada bilah navigasi, gunakan pemilih Wilayah untuk memilih Wilayah AWS.
-
Di panel navigasi, pilih Titik akhir. Pada panel utama, pilih Buat Titik Akhir.
-
Untuk Kategori layanan, pilih Layanan AWS.
-
Untuk Nama Layanan, pilih titik akhir yang ditunjukkan dalam tabel.
-
Untuk VPC, pilih VPC Anda.
-
Untuk Subnet, pilih subnet dari setiap Zona Ketersediaan yang akan disertakan.
Titik akhir VPC dapat menjangkau beberapa Availability Zone. AWS menciptakan sebuah elastic network interface untuk endpoint VPC di setiap subnet yang Anda pilih. Setiap antarmuka jaringan memiliki nama host Sistem Nama Domain (DNS) dan alamat IP privat.
-
Untuk Grup keamanan, pilih atau buat grup keamanan.
Anda dapat menggunakan grup keamanan untuk mengontrol akses ke titik akhir Anda, seperti Anda menggunakan firewall. Pastikan bahwa grup keamanan mengizinkan koneksi masuk pada port 443 dari instans DB. Untuk informasi selengkapnya, lihat Grup Keamanan untuk VPC Anda dalam Panduan Pengguna Amazon VPC.
-
Secara opsional, Anda dapat melampirkan kebijakan ke titik akhir VPC. Kebijakan endpoint dapat mengontrol akses Layanan AWS ke yang Anda sambungkan. Kebijakan default mengizinkan semua permintaan melewati titik akhir. Jika Anda menggunakan kebijakan kustom, pastikan permintaan dari instans DB diizinkan dalam kebijakan ini.
-
Pilih Buat titik akhir.
Tabel berikut menjelaskan cara menemukan daftar titik akhir yang dibutuhkan VPC Anda untuk komunikasi keluar.
Layanan | Format titik akhir | Catatan dan tautan |
---|---|---|
AWS Systems Manager |
Gunakan format titik akhir berikut:
|
Untuk daftar titik akhir di setiap Wilayah, lihat Titik akhir dan kuota AWS Systems Manager dalam Referensi Umum Amazon Web Services. |
AWS Secrets Manager |
Gunakan format titik akhir |
Untuk daftar titik akhir di setiap Wilayah, lihat Titik akhir dan kuota AWS Secrets Manager dalam Referensi Umum Amazon Web Services. |
Amazon CloudWatch |
Gunakan format titik akhir berikut:
|
Untuk daftar titik akhir di setiap Wilayah, lihat:
|
Amazon EC2 |
Gunakan format titik akhir berikut:
|
Untuk daftar titik akhir di setiap Wilayah, lihat Titik akhir dan kuota Amazon Elastic Compute Cloud dalam Referensi Umum Amazon Web Services. |
Amazon S3 |
Gunakan format titik akhir |
Untuk daftar titik akhir di setiap Wilayah, lihat Titik akhir dan kuota Amazon Simple Storage Service dalam Referensi Umum Amazon Web Services. Untuk mempelajari selengkapnya tentang titik akhir gateway untuk Amazon S3, lihat Titik Akhir untuk Amazon S3 dalam Panduan Developer Amazon VPC. Untuk mempelajari cara membuat titik akses, lihat Membuat titik akses dalam Panduan Developer Amazon VPC. Untuk mempelajari cara membuat titik akhir gateway untuk Amazon S3, lihat Titik akhir VPC Gateway. |
Amazon Simple Queue Service |
Gunakan format titik akhir sqs. |
Untuk daftar titik akhir di setiap Wilayah, lihat titik akhir dan kuota Amazon Simple Queue Service. |
Konfigurasikan layanan metadata instans
Pastikan instans Anda dapat melakukan hal berikut:
-
Akses layanan metadata instance menggunakan Instance Metadata Service Version 2 (). IMDSv2
-
Memungkinkan komunikasi keluar melalui port 80 (HTTP) ke alamat IP tautan IMDS.
-
Minta metadata instance dari
http://169.254.169.254
, tautan. IMDSv2
Untuk informasi selengkapnya, lihat Menggunakan IMDSv2 di Panduan EC2 Pengguna Amazon.
Pembatasan lintas-instance
Saat Anda membuat profil instans dengan mengikuti langkah-langkah di atas, profil tersebut menggunakan kebijakan AWS terkelola AmazonRDSCustomInstanceProfileRolePolicy
untuk memberikan izin yang diperlukan ke RDS Custom yang memungkinkan pengelolaan instans dan otomatisasi pemantauan. Kebijakan terkelola memastikan bahwa izin hanya mengizinkan akses ke sumber daya yang diperlukan RDS Custom untuk menjalankan otomatisasi. Sebaiknya gunakan kebijakan terkelola untuk mendukung fitur baru dan memenuhi persyaratan keamanan yang secara otomatis diterapkan ke profil instans yang ada tanpa intervensi manual. Untuk informasi selengkapnya, lihat kebijakan AWS terkelola: Amazon RDSCusto m InstanceProfileRolePolicy.
Kebijakan AmazonRDSCustomInstanceProfileRolePolicy
terkelola membatasi profil instans agar memiliki akses lintas akun, tetapi mungkin mengizinkan akses ke beberapa sumber daya terkelola Kustom RDS di seluruh instans Kustom RDS dalam akun yang sama. Berdasarkan kebutuhan Anda, Anda dapat menggunakan batas izin untuk membatasi akses lintas instans lebih lanjut. Batas izin menentukan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas, tetapi tidak memberikan izin sendiri. Untuk informasi selengkapnya, lihat Mengevaluasi izin efektif dengan batasan.
Misalnya, kebijakan berikut membatasi peran profil instance untuk mengakses AWS KMS kunci tertentu dan membatasi akses ke sumber daya terkelola RDS Custom di seluruh instance yang menggunakan kunci berbeda. AWS KMS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyOtherKmsKeyAccess", "Effect": "Deny", "Action": "kms:*", "NotResource": "arn:aws:kms:
region
:acct_id
:key/KMS_key_ID
" }, { "Sid": "NoBoundarySetByDefault", "Effect": "Allow", "Action": "*", "Resource": "*" } ] }
catatan
Pastikan batas izin tidak memblokir izin apa pun yang diberikan kepada AmazonRDSCustomInstanceProfileRolePolicy
RDS Custom.