Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyiapkan lingkungan Anda untuk Amazon RDS Custom for SQL Server
<a name="custom-setup-sqlserver"></a>

Sebelum Anda membuat dan mengelola instans DB untuk instans DB Amazon RDS Custom for SQL Server, pastikan untuk melakukan tugas-tugas berikut.

**Contents**
+ [

## Prasyarat untuk menyiapkan RDS Custom for SQL Server
](#custom-setup-sqlserver.review)
  + [

### Pembuatan profil instans otomatis menggunakan Konsol Manajemen AWS
](#custom-setup-sqlserver.instanceProfileCreation)
+ [

## Langkah 1: Berikan izin yang diperlukan untuk kepala sekolah IAM Anda
](#custom-setup-sqlserver.iam-user)
+ [

## Langkah 2: Konfigurasikan jaringan, profil contoh, dan enkripsi
](#custom-setup-sqlserver.iam-vpc)
  + [

### Mengkonfigurasi dengan CloudFormation
](#custom-setup-sqlserver.cf)
    + [

#### Parameter yang dibutuhkan oleh CloudFormation
](#custom-setup-sqlserver.cf.params)
    + [

#### Unduh file CloudFormation templat
](#custom-setup-sqlserver.cf.download)
    + [

#### Mengkonfigurasi sumber daya menggunakan CloudFormation
](#custom-setup-sqlserver.cf.config)
  + [

### Mengonfigurasi secara manual
](#custom-setup-sqlserver.manual)
    + [

#### Pastikan Anda memiliki kunci enkripsi AWS KMS simetris
](#custom-setup-sqlserver.cmk)
    + [

#### Membuat profil instans dan peran IAM Anda secara manual
](#custom-setup-sqlserver.iam)
      + [

##### Buat peran AWSRDSCustom SQLServer InstanceRole IAM
](#custom-setup-sqlserver.iam.create-role)
      + [

##### Menambahkan kebijakan akses ke AWSRDSCustom SQLServer InstanceRole
](#custom-setup-sqlserver.iam.add-policy)
      + [

##### Buat profil instans RDS Custom for SQL Server
](#custom-setup-sqlserver.iam.create-profile)
      + [

##### Tambahkan AWSRDSCustom SQLServer InstanceRole ke profil instans RDS Custom for SQL Server
](#custom-setup-sqlserver.iam.add-profile)
    + [

#### Mengonfigurasi VPC Anda secara manual
](#custom-setup-sqlserver.vpc)
      + [

##### Konfigurasikan grup keamanan VPC
](#custom-setup-sqlserver.vpc.sg)
      + [

##### Konfigurasikan titik akhir untuk dependen Layanan AWS
](#custom-setup-sqlserver.vpc.endpoints)
      + [

##### Konfigurasikan layanan metadata instans
](#custom-setup-sqlserver.vpc.imds)
+ [

## Pembatasan lintas-instance
](#custom-setup-sqlserver.cross-instance-restriction)

**catatan**  
Untuk step-by-step tutorial tentang cara mengatur prasyarat dan meluncurkan Amazon RDS Custom for SQL Server, lihat [Memulai Amazon RDS Custom for SQL Server menggunakan CloudFormation template (Pengaturan jaringan) dan Jelajahi [prasyarat yang diperlukan](https://aws.amazon.com/blogs/database/explore-the-prerequisites-required-to-create-an-amazon-rds-custom-for-sql-server-instance/) untuk membuat Amazon RDS](https://aws.amazon.com/blogs/database/get-started-with-amazon-rds-custom-for-sql-server-using-an-aws-cloudformation-template-network-setup/) Custom for SQL Server instance.

## Prasyarat untuk menyiapkan RDS Custom for SQL Server
<a name="custom-setup-sqlserver.review"></a>

Sebelum membuat instans DB RDS Custom for SQL Server, pastikan lingkungan Anda memenuhi persyaratan yang dijelaskan dalam topik ini. Anda juga dapat menggunakan CloudFormation template untuk mengatur prasyarat dalam Anda. Akun AWS Untuk informasi selengkapnya, lihat [Mengkonfigurasi dengan CloudFormation](#custom-setup-sqlserver.cf)

Kustom RDS untuk SQL Server mengharuskan Anda mengonfigurasi prasyarat berikut:
+ Konfigurasikan izin AWS Identity and Access Management (IAM) yang diperlukan untuk pembuatan instance. Ini adalah pengguna AWS Identity and Access Management (IAM) atau peran yang diperlukan untuk membuat `create-db-instance` permintaan ke RDS.
+ Konfigurasikan sumber daya prasyarat yang diperlukan oleh RDS Custom untuk instans SQL Server DB:
  + Konfigurasikan AWS KMS kunci yang diperlukan untuk enkripsi instance RDS Custom. RDS Custom memerlukan kunci yang dikelola pelanggan pada saat pembuatan instance untuk enkripsi. Kunci KMS ARN, ID, alias ARN, atau nama alias diteruskan `kms-key-id` sebagai parameter dalam permintaan untuk membuat instance RDS Custom DB.
  + Konfigurasikan izin yang diperlukan di dalam RDS Custom untuk instans SQL Server DB. RDS Custom melampirkan profil instance ke instans DB saat pembuatan dan menggunakannya untuk otomatisasi dalam instans DB. Nama profil instance diatur ke `custom-iam-instance-profile` dalam permintaan pembuatan Kustom RDS. Anda dapat membuat profil instans dari Konsol Manajemen AWS atau secara manual membuat profil instans Anda. Untuk informasi selengkapnya, lihat [Pembuatan profil instans otomatis menggunakan Konsol Manajemen AWS](#custom-setup-sqlserver.instanceProfileCreation) dan [Membuat profil instans dan peran IAM Anda secara manual](#custom-setup-sqlserver.iam).
  + Konfigurasikan pengaturan jaringan sesuai persyaratan RDS Custom untuk SQL Server. Instans Kustom RDS berada di subnet (dikonfigurasi dengan grup subnet DB) yang Anda berikan saat pembuatan instans. Subnet ini harus memungkinkan instans Kustom RDS untuk berkomunikasi dengan layanan yang diperlukan untuk otomatisasi RDS.

**catatan**  
Untuk persyaratan yang disebutkan di atas, pastikan tidak ada kebijakan kontrol layanan (SCPs) yang membatasi izin tingkat akun.  
Jika akun yang Anda gunakan adalah bagian dari AWS Organisasi, akun tersebut mungkin memiliki kebijakan kontrol layanan (SCPs) yang membatasi izin tingkat akun. Pastikan SCPs tidak membatasi izin pada pengguna dan peran yang Anda buat menggunakan prosedur berikut.  
Untuk informasi selengkapnya SCPs, lihat [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) di *Panduan AWS Organizations Pengguna*. Gunakan [AWS CLI perintah deskripsikan organisasi](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-organization.html) untuk memeriksa apakah akun Anda adalah bagian dari Organisasi. AWS   
Untuk informasi selengkapnya tentang AWS Organizations, lihat [Apa itu AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dalam *Panduan AWS Organizations Pengguna*.

Untuk persyaratan umum yang berlaku untuk RDS Custom for SQL Server, lihat [Persyaratan umum untuk RDS Custom for SQL Server](custom-reqs-limits-MS.md#custom-reqs-limits.reqsMS).

### Pembuatan profil instans otomatis menggunakan Konsol Manajemen AWS
<a name="custom-setup-sqlserver.instanceProfileCreation"></a>

RDS Custom mengharuskan Anda membuat dan mengonfigurasi profil instans untuk meluncurkan instans RDS Custom for SQL Server DB apa pun. Gunakan Konsol Manajemen AWS untuk membuat dan melampirkan profil instance baru dalam satu langkah. Opsi ini tersedia di bawah bagian Keamanan kustom RDS di halaman **Buat database**, **Kembalikan snapshot**, dan **Kembalikan ke titik di halaman konsol waktu**. Pilih **Buat profil instance baru** untuk memberikan akhiran nama profil instance. Konsol Manajemen AWS Membuat profil instance baru yang memiliki izin yang diperlukan untuk tugas otomatisasi Kustom RDS. Untuk membuat profil instans baru secara otomatis, Konsol Manajemen AWS pengguna yang masuk harus memiliki`iam:CreateInstanceProfile`,, `iam:AddRoleToInstanceProfile``iam:CreateRole`, dan izin. `iam:AttachRolePolicy`

**catatan**  
Opsi ini hanya tersedia di Konsol Manajemen AWS. Jika Anda menggunakan CLI atau SDK, gunakan CloudFormation template RDS Custom provided atau buat profil instance secara manual. Untuk informasi selengkapnya, lihat [Membuat profil instans dan peran IAM Anda secara manual](#custom-setup-sqlserver.iam).

## Langkah 1: Berikan izin yang diperlukan untuk kepala sekolah IAM Anda
<a name="custom-setup-sqlserver.iam-user"></a>

Pastikan Anda memiliki akses yang cukup untuk membuat instance RDS Custom. Peran IAM atau pengguna IAM (disebut sebagai *prinsipal IAM*) untuk membuat instans RDS Custom for SQL Server DB menggunakan konsol atau CLI harus memiliki salah satu dari kebijakan berikut untuk pembuatan instans DB yang berhasil:
+ Kebijakan `AdministratorAccess`
+ Kebijakan `AmazonRDSFullAccess` dengan izin tambahan berikut:

  ```
  iam:SimulatePrincipalPolicy
  cloudtrail:CreateTrail
  cloudtrail:StartLogging
  s3:CreateBucket
  s3:PutBucketPolicy
  s3:PutBucketObjectLockConfiguration
  s3:PutBucketVersioning 
  kms:CreateGrant
  kms:DescribeKey
  kms:Decrypt
  kms:ReEncryptFrom
  kms:ReEncryptTo
  kms:GenerateDataKeyWithoutPlaintext
  kms:GenerateDataKey
  ec2:DescribeImages
  ec2:RunInstances
  ec2:CreateTags
  ```

  RDS Custom menggunakan izin ini selama pembuatan instance. Izin ini mengonfigurasi sumber daya di akun Anda yang diperlukan untuk operasi Kustom RDS.

  Untuk informasi selengkapnya tentang izin `kms:CreateGrant`, lihat [AWS KMS key manajemen](Overview.Encryption.Keys.md).

Contoh kebijakan JSON berikut memberikan izin yang diperlukan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Prinsipal IAM memerlukan izin tambahan berikut untuk bekerja dengan versi mesin khusus ()CEVs:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfigureKmsKeyEncryptionPermission",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key_id"
        },
        {
            "Sid": "CreateEc2Instance",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeImages",
                "ec2:RunInstances",
                "ec2:CreateTags"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Ganti *111122223333* dengan ID akun yang Anda gunakan untuk membuat instance Anda. Ganti *us-east-1* dengan yang Wilayah AWS Anda gunakan untuk membuat instance Anda. Ganti *key\$1id* dengan ID kunci terkelola pelanggan Anda. Anda dapat menambahkan beberapa kunci sesuai kebutuhan. 

[Untuk informasi selengkapnya tentang izin tingkat sumber daya yang diperlukan untuk meluncurkan instans EC2, lihat Meluncurkan instance (). RunInstances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-runinstances) 

Selain itu, prinsipal IAM memerlukan izin `iam:PassRole` pada peran IAM. Izin ini harus dilampirkan ke profil instans yang diteruskan dalam parameter `custom-iam-instance-profile` dalam permintaan untuk membuat instans DB RDS Custom. Profil instans dan peran terlampirnya dibuat nanti dalam [Langkah 2: Konfigurasikan jaringan, profil contoh, dan enkripsi](#custom-setup-sqlserver.iam-vpc).

**catatan**  
Pastikan izin yang tercantum sebelumnya tidak dibatasi oleh kebijakan kontrol layanan (SCPs), batas izin, atau kebijakan sesi yang terkait dengan prinsipal IAM.

## Langkah 2: Konfigurasikan jaringan, profil contoh, dan enkripsi
<a name="custom-setup-sqlserver.iam-vpc"></a>

Anda dapat mengonfigurasi peran profil instans IAM, virtual private cloud (VPC), AWS KMS dan kunci enkripsi simetris dengan menggunakan salah satu dari proses berikut:
+ [Mengkonfigurasi dengan CloudFormation](#custom-setup-sqlserver.cf) (direkomendasikan)
+ [Mengonfigurasi secara manual](#custom-setup-sqlserver.manual)

**catatan**  
Jika akun Anda merupakan bagian dari akun apa pun AWS Organizations, pastikan izin yang diperlukan oleh peran profil instans tidak dibatasi oleh kebijakan kontrol layanan (SCPs).  
Konfigurasi jaringan dalam topik ini bekerja paling baik dengan instans DB yang tidak dapat diakses publik. Anda tidak dapat terhubung langsung ke instans DB seperti itu dari luar VPC.

### Mengkonfigurasi dengan CloudFormation
<a name="custom-setup-sqlserver.cf"></a>

Untuk menyederhanakan pengaturan, Anda dapat menggunakan file CloudFormation template untuk membuat CloudFormation tumpukan. CloudFormation Template membuat semua jaringan, profil instance, dan sumber daya enkripsi sesuai dengan persyaratan RDS Custom.

Untuk mempelajari cara membuat tumpukan, lihat [Membuat tumpukan di CloudFormation konsol](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) di *Panduan CloudFormation Pengguna*.

*Untuk tutorial tentang cara meluncurkan Amazon RDS Custom for SQL Server menggunakan CloudFormation template, lihat [Memulai Amazon RDS Custom for SQL Server menggunakan CloudFormation template](https://aws.amazon.com/blogs/database/get-started-with-amazon-rds-custom-for-sql-server-using-an-aws-cloudformation-template-network-setup/) di Blog Database.AWS *

**Topics**
+ [

#### Parameter yang dibutuhkan oleh CloudFormation
](#custom-setup-sqlserver.cf.params)
+ [

#### Unduh file CloudFormation templat
](#custom-setup-sqlserver.cf.download)
+ [

#### Mengkonfigurasi sumber daya menggunakan CloudFormation
](#custom-setup-sqlserver.cf.config)

#### Parameter yang dibutuhkan oleh CloudFormation
<a name="custom-setup-sqlserver.cf.params"></a>

Parameter berikut diperlukan untuk mengonfigurasi sumber daya prasyarat Kustom RDS dengan: CloudFormation

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/custom-setup-sqlserver.html)

#### Sumber daya yang dibuat oleh CloudFormation
<a name="custom-setup-sqlserver.cf.list"></a>

Berhasil membuat CloudFormation tumpukan menggunakan pengaturan default membuat sumber daya berikut di Akun AWS:
+ Kunci KMS enkripsi simetris untuk enkripsi data yang dikelola oleh RDS Custom.
+ Profil instans dikaitkan dengan peran IAM `AmazonRDSCustomInstanceProfileRolePolicy` untuk memberikan izin yang diperlukan oleh RDS Custom. Untuk informasi selengkapnya, lihat [Amazon RDSCustom ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSCustomServiceRolePolicy.html) di *Panduan Referensi Kebijakan AWS Terkelola*.
+ VPC dengan rentang CIDR ditentukan sebagai parameter. CloudFormation Nilai default-nya adalah `10.0.0.0/16`.
+ Dua subnet privat dengan rentang CIDR yang ditentukan dalam parameter, dan dua Zona Ketersediaan yang berbeda di Wilayah AWS. Nilai default untuk subnet CIDRs adalah `10.0.128.0/20` dan`10.0.144.0/20`.
+ Satu subnet publik dengan rentang CIDR yang ditentukan dalam parameter. Nilai default untuk subnet CIDR adalah 10.0.0.0/20. Instans EC2 berada di subnet ini dan dapat digunakan untuk terhubung ke instans Kustom RDS. 
+ Opsi DHCP yang diatur untuk VPC dengan resolusi nama domain ke server Sistem Nama Domain (DNS) Amazon.
+ Tabel rute untuk dikaitkan dengan dua subnet privat dan tanpa akses ke internet.
+ Rute tabel untuk mengasosiasikan dengan subnet publik dan memiliki akses ke internet.
+ Internet gateway yang terkait dengan VPC untuk memungkinkan akses internet ke subnet publik.
+ Network Access Control List (ACL) untuk diasosiasikan dengan dua subnet pribadi dan akses dibatasi ke port HTTPS dan DB dalam VPC.
+ Grup keamanan VPC untuk dikaitkan dengan instans RDS Custom. Akses dibatasi untuk HTTPS keluar ke Layanan AWS titik akhir yang diperlukan oleh RDS Custom dan port DB masuk dari grup keamanan instans EC2.
+ Grup keamanan VPC akan dikaitkan dengan instans EC2 di subnet publik. Akses dibatasi untuk port DB keluar ke grup keamanan instans Kustom RDS.
+ Grup keamanan VPC akan dikaitkan dengan titik akhir VPC yang dibuat untuk titik akhir yang diperlukan oleh RDS Layanan AWS Custom.
+ Grup subnet DB tempat instans RDS Custom dibuat. Dua subnet pribadi yang dibuat oleh template ini ditambahkan ke grup subnet DB.
+ Titik akhir VPC untuk setiap titik akhir yang diperlukan oleh Layanan AWS RDS Custom.

Menyetel konfigurasi ketersediaan ke multi-az akan membuat sumber daya berikut selain daftar di atas:
+ Aturan ACL jaringan memungkinkan komunikasi antara subnet pribadi.
+ Akses masuk dan keluar ke port Multi-AZ dalam grup keamanan VPC yang terkait dengan instans Kustom RDS.
+ Titik akhir VPC ke titik akhir AWS layanan yang diperlukan untuk komunikasi multi-AZ.

Selain itu, pengaturan konfigurasi akses RDP menciptakan sumber daya berikut:
+ Mengkonfigurasi akses RDP ke subnet publik dari alamat IP sumber Anda:
  + Aturan ACL jaringan yang memungkinkan koneksi RDP dari IP sumber Anda ke subnet publik.
  + Akses masuk ke port RDP dari IP sumber Anda ke grup keamanan VPC yang terkait dengan instans EC2.
+ Mengkonfigurasi akses RDP dari instans EC2 di subnet publik ke Instans Kustom RDS di subnet pribadi:
  + Aturan ACL jaringan memungkinkan koneksi RDP dari subnet publik ke subnet pribadi.
  + Akses masuk ke port RDP dari grup keamanan VPC yang terkait dengan instans EC2 ke grup keamanan VPC yang terkait dengan Instans Kustom RDS.

Gunakan prosedur berikut untuk membuat CloudFormation tumpukan untuk RDS Custom for SQL Server.

#### Unduh file CloudFormation templat
<a name="custom-setup-sqlserver.cf.download"></a>

**Untuk mengunduh file templat**

1. Buka menu konteks (klik kanan) untuk [ custom-sqlserver-onboardtautan.zip](samples/custom-sqlserver-onboard.zip) dan pilih **Simpan Tautan Sebagai**.

1. Simpan dan ekstrak file ke komputer Anda.

#### Mengkonfigurasi sumber daya menggunakan CloudFormation
<a name="custom-setup-sqlserver.cf.config"></a>

**Untuk mengkonfigurasi sumber daya menggunakan CloudFormation**

1. Buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

1. Untuk memulai wizard Buat Tumpukan, pilih **Buat Tumpukan**.

   Halaman **Buat tumpukan** muncul.

1. Untuk **Prasyarat - Siapkan templat**, pilih **Template sudah siap**.

1. Untuk **Tentukan templat**, lakukan hal berikut:

   1. Untuk **Sumber templat**, pilih **Unggah file templat**.

   1. Untuk **Pilih file**, navigasikan ke dan pilih file yang benar.

1. Pilih **Berikutnya**.

   Halaman **Tentukan detail tumpukan** muncul.

1. Untuk **Nama tumpukan**, masukkan **rds-custom-sqlserver**.

1. Untuk **Parameter**, lakukan hal berikut:

   1. Untuk mempertahankan opsi default, pilih **Berikutnya**.

   1. **Untuk mengubah opsi, pilih konfigurasi ketersediaan yang sesuai, konfigurasi jaringan, dan konfigurasi akses RDP, lalu pilih Berikutnya.**

      Baca deskripsi setiap parameter dengan cermat sebelum mengubah parameter.
**catatan**  
Jika Anda memilih untuk membuat setidaknya satu instance Multi-AZ di CloudFormation tumpukan ini, pastikan parameter CloudFormation tumpukan **Pilih konfigurasi ketersediaan untuk penyiapan prasyarat diatur** ke. `Multi-AZ` Jika Anda membuat CloudFormation tumpukan sebagai Single-AZ, perbarui CloudFormation tumpukan ke konfigurasi Multi-AZ sebelum membuat instance Multi-AZ pertama.

1. Pada halaman **Konfigurasikan opsi tumpukan**, pilih **Berikutnya**.

1. Pada halaman **Tinjauan rds-custom-sqlserver**, lakukan hal berikut:

   1. Untuk **Kemampuan**, pilih kotak centang ****Saya memahami bahwa CloudFormation dapat membuat sumber daya IAM dengan nama kustom****.

   1. Pilih **Buat tumpukan**.

**catatan**  
Jangan memperbarui sumber daya yang dibuat dari CloudFormation tumpukan ini langsung dari halaman sumber daya. Ini mencegah Anda menerapkan pembaruan masa depan ke sumber daya ini dengan menggunakan CloudFormation templat.

CloudFormation menciptakan sumber daya yang dibutuhkan RDS Custom untuk SQL Server. Jika pembuatan tumpukan gagal, baca tab **Peristiwa** untuk melihat pembuatan sumber daya mana yang gagal dan alasan statusnya.

Tab **Output** untuk CloudFormation tumpukan ini di konsol harus memiliki informasi tentang semua sumber daya yang akan diteruskan sebagai parameter untuk membuat instance RDS Custom untuk SQL Server DB. Pastikan untuk menggunakan grup keamanan VPC dan grup subnet DB yang dibuat oleh CloudFormation untuk instans RDS Custom DB. Secara default, RDS mencoba melampirkan grup keamanan VPC default, yang mungkin tidak memiliki akses yang Anda butuhkan.

Jika Anda biasa CloudFormation membuat sumber daya, Anda dapat melewati[Mengonfigurasi secara manual](#custom-setup-sqlserver.manual).

#### Memperbarui CloudFormation tumpukan
<a name="custom-setup-sqlserver.cf.update"></a>

Anda juga dapat memperbarui beberapa konfigurasi pada CloudFormation tumpukan setelah pembuatan. Konfigurasi yang dapat diperbarui adalah:
+ Konfigurasi Ketersediaan untuk RDS Kustom untuk SQL Server
  + **Pilih konfigurasi ketersediaan untuk pengaturan prasyarat**: Perbarui parameter ini untuk beralih antara konfigurasi Single-AZ dan Multi-AZ. Jika Anda menggunakan CloudFormation tumpukan ini untuk setidaknya satu instance Multi-AZ, Anda harus memperbarui tumpukan untuk memilih konfigurasi Multi-AZ.
+ Konfigurasi Akses RDP untuk Kustom RDS untuk SQL Server
  + IPv4 Blok CIDR sumber Anda: Anda dapat memperbarui blok IPv4 CIDR (atau rentang alamat IP) sumber Anda dengan memperbarui parameter ini. Menyetel parameter ini menjadi kosong akan menghapus konfigurasi akses RDP dari blok CIDR sumber Anda ke subnet publik. 
  + Siapkan akses RDP ke RDS Kustom untuk SQL Server: Aktifkan atau nonaktifkan koneksi RDP dari instans EC2 ke RDS Custom for SQL Server instance.

#### Menghapus tumpukan CloudFormation
<a name="custom-setup-sqlserver.cf.delete"></a>

Anda dapat menghapus CloudFormation tumpukan setelah menghapus semua instance Kustom RDS yang menggunakan sumber daya dari tumpukan. RDS Custom tidak melacak CloudFormation tumpukan, oleh karena itu tidak memblokir penghapusan tumpukan ketika ada instance DB yang menggunakan sumber daya tumpukan. Pastikan tidak ada instans RDS Custom DB yang menggunakan sumber daya tumpukan saat menghapus tumpukan.

**catatan**  
Saat Anda menghapus CloudFormation tumpukan, semua sumber daya yang dibuat oleh tumpukan akan dihapus kecuali kunci KMS. Kunci KMS masuk ke status penghapusan tertunda dan dihapus setelah 30 hari. Untuk menjaga kunci KMS, lakukan [CancelKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_CancelKeyDeletion.html)operasi selama masa tenggang 30 hari.

### Mengonfigurasi secara manual
<a name="custom-setup-sqlserver.manual"></a>

Jika Anda memilih untuk mengonfigurasi sumber daya secara manual, lakukan tugas berikut.

**catatan**  
Untuk menyederhanakan pengaturan, Anda dapat menggunakan file CloudFormation template untuk membuat CloudFormation tumpukan daripada konfigurasi manual. Untuk informasi selengkapnya, lihat [Mengkonfigurasi dengan CloudFormation](#custom-setup-sqlserver.cf).  
Anda juga dapat menggunakan AWS CLI untuk menyelesaikan bagian ini. Jika demikian, unduh dan instal CLI terbaru.

**Topics**
+ [

#### Pastikan Anda memiliki kunci enkripsi AWS KMS simetris
](#custom-setup-sqlserver.cmk)
+ [

#### Membuat profil instans dan peran IAM Anda secara manual
](#custom-setup-sqlserver.iam)
+ [

#### Mengonfigurasi VPC Anda secara manual
](#custom-setup-sqlserver.vpc)

#### Pastikan Anda memiliki kunci enkripsi AWS KMS simetris
<a name="custom-setup-sqlserver.cmk"></a>

Enkripsi simetris AWS KMS key diperlukan untuk RDS Custom. Saat Anda membuat instance RDS Custom for SQL Server DB, pastikan untuk menyediakan pengidentifikasi kunci KMS sebagai parameter. `kms-key-id` Untuk informasi selengkapnya, lihat [Membuat dan menghubungkan ke instans DB untuk Amazon RDS Custom for SQL Server](custom-creating-sqlserver.md).

Anda memiliki opsi berikut:
+ Jika Anda memiliki kunci KMS terkelola pelanggan yang ada di Anda Akun AWS, Anda dapat menggunakannya dengan RDS Custom. Tidak ada tindakan lebih lanjut yang diperlukan.
+ Jika Anda telah membuat kunci KMS enkripsi simetris yang dikelola pelanggan untuk mesin RDS Custom yang berbeda, Anda dapat menggunakan kembali kunci KMS yang sama. Tidak ada tindakan lebih lanjut yang diperlukan.
+ Jika Anda tidak memiliki kunci KMS enkripsi simetris yang dikelola pelanggan yang sudah ada di akun Anda, buat kunci KMS dengan mengikuti petunjuk dalam [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dalam *Panduan Developer AWS Key Management Service *.
+ Jika Anda membuat instans CEV atau RDS Custom DB, dan kunci KMS Anda berbeda Akun AWS, pastikan untuk menggunakan. AWS CLI Anda tidak dapat menggunakan AWS konsol dengan kunci KMS lintas akun.

**penting**  
RDS Custom tidak mendukung kunci KMS AWS terkelola.

Pastikan kunci enkripsi simetris Anda memberikan akses ke `kms:Decrypt` dan `kms:GenerateDataKey` operasi ke peran AWS Identity and Access Management (IAM) di profil instans IAM Anda. Jika Anda memiliki kunci enkripsi simetris baru di akun Anda, perubahan tidak diperlukan. Jika tidak, pastikan kebijakan kunci enkripsi simetris Anda memberikan akses ke operasi ini.

Untuk informasi selengkapnya, lihat [Langkah 4: Konfigurasikan IAM untuk RDS Custom for Oracle](custom-setup-orcl.md#custom-setup-orcl.iam-vpc).

#### Membuat profil instans dan peran IAM Anda secara manual
<a name="custom-setup-sqlserver.iam"></a>

Anda dapat membuat profil instans secara manual dan menggunakannya untuk meluncurkan instans RDS Custom. Jika Anda berencana untuk membuat instance di Konsol Manajemen AWS, lewati bagian ini. Konsol Manajemen AWS Ini memungkinkan Anda untuk membuat dan melampirkan profil instance ke instans RDS Custom DB Anda. Untuk informasi selengkapnya, lihat [Pembuatan profil instans otomatis menggunakan Konsol Manajemen AWS](#custom-setup-sqlserver.instanceProfileCreation). 

Saat Anda membuat profil instance secara manual, berikan nama profil instance sebagai `custom-iam-instance-profile` parameter ke perintah `create-db-instance` CLI Anda. RDS Custom menggunakan peran yang terkait dengan profil instance ini untuk menjalankan otomatisasi guna mengelola instance.

**Untuk membuat profil instans IAM dan peran IAM untuk RDS Custom for SQL Server**

1. Buat peran IAM bernama `AWSRDSCustomSQLServerInstanceRole` dengan kebijakan kepercayaan yang memungkinkan Amazon EC2 mengambil peran ini.

1. Tambahkan Kebijakan AWS Terkelola `AmazonRDSCustomInstanceProfileRolePolicy` ke`AWSRDSCustomSQLServerInstanceRole`.

1. Buat profil instans IAM untuk RDS Custom for SQL Server yang bernama `AWSRDSCustomSQLServerInstanceProfile`.

1. Tambahkan peran `AWSRDSCustomSQLServerInstanceRole` ke profil instans.

##### Buat peran AWSRDSCustom SQLServer InstanceRole IAM
<a name="custom-setup-sqlserver.iam.create-role"></a>

Contoh berikut membuat peran `AWSRDSCustomSQLServerInstanceRole`. Kebijakan kepercayaan memungkinkan Amazon EC2 mengambil peran tersebut.

```
aws iam create-role \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --assume-role-policy-document '{
        "Version": "2012-10-17",		 	 	 
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                  "Service": "ec2.amazonaws.com"
              }
            }
          ]
        }'
```

##### Menambahkan kebijakan akses ke AWSRDSCustom SQLServer InstanceRole
<a name="custom-setup-sqlserver.iam.add-policy"></a>

Untuk memberikan izin yang diperlukan, lampirkan kebijakan AWS terkelola `AmazonRDSCustomInstanceProfileRolePolicy` ke`AWSRDSCustomSQLServerInstanceRole`. `AmazonRDSCustomInstanceProfileRolePolicy`memungkinkan instans Kustom RDS untuk mengirim dan menerima pesan, dan melakukan berbagai tindakan otomatisasi.

**catatan**  
Pastikan bahwa izin dalam kebijakan akses tidak dibatasi oleh SCPs atau batas izin yang terkait dengan peran profil instance.

Contoh berikut melampirkan kebijakan AWS terkelola `AmazonRDSCustomInstanceProfileRolePolicy` ke `AWSRDSCustomSQLServerInstanceRole` peran tersebut.

```
aws iam attach-role-policy \
    --role-name AWSRDSCustomSQLServerInstanceRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonRDSCustomInstanceProfileRolePolicy
```

##### Buat profil instans RDS Custom for SQL Server
<a name="custom-setup-sqlserver.iam.create-profile"></a>

Profil instans adalah kontainer yang menyertakan peran IAM tunggal. RDS Custom menggunakan profil instans untuk meneruskan peran ke instans.

Jika Anda menggunakan Konsol Manajemen AWS untuk membuat peran Amazon EC2, konsol akan secara otomatis membuat profil instans dan memberinya nama yang sama dengan peran saat peran dibuat. Buat profil instans Anda sebagai berikut, dengan memberinya nama `AWSRDSCustomSQLServerInstanceProfile`.

```
aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile
```

##### Tambahkan AWSRDSCustom SQLServer InstanceRole ke profil instans RDS Custom for SQL Server
<a name="custom-setup-sqlserver.iam.add-profile"></a>

Tambahkan `AWSRDSCustomInstanceRoleForRdsCustomInstance` peran ke `AWSRDSCustomSQLServerInstanceProfile` profil yang dibuat sebelumnya.

```
aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomSQLServerInstanceProfile \
    --role-name AWSRDSCustomSQLServerInstanceRole
```

#### Mengonfigurasi VPC Anda secara manual
<a name="custom-setup-sqlserver.vpc"></a>

Instans DB RDS Custom Anda berada di cloud privat virtual (VPC) yang didasarkan pada layanan Amazon VPC, seperti instans Amazon EC2 atau instans Amazon RDS. Anda menyediakan dan mengonfigurasi VPC Anda sendiri. Dengan demikian, Anda memiliki kontrol penuh atas pengaturan jaringan instans Anda.

RDS Custom mengirimkan komunikasi dari instans DB Anda ke Layanan AWS lain. Pastikan layanan berikut dapat diakses dari subnet tempat Anda membuat instans RDS Custom DB:
+ Amazon CloudWatch (`com.amazonaws.region.monitoring`)
+  CloudWatch Log Amazon (`com.amazonaws.region.logs`)
+  CloudWatch Acara Amazon (`com.amazonaws.region.events`)
+ Amazon EC2 (dan) `com.amazonaws.region.ec2` `com.amazonaws.region.ec2messages`
+ Amazon S3 () `com.amazonaws.region.s3`
+ AWS Secrets Manager (`com.amazonaws.region.secretsmanager`)
+ AWS Systems Manager (`com.amazonaws.region.ssm`dan`com.amazonaws.region.ssmmessages`)

Jika membuat penerapan Multi-AZ
+ Layanan Antrian Sederhana Amazon () `com.amazonaws.region.sqs`

Jika RDS Custom tidak dapat berkomunikasi dengan layanan yang diperlukan, RDS Custom akan menerbitkan peristiwa berikut:

```
Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
```

```
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"
```

Untuk menghindari `incompatible-network` kesalahan, pastikan komponen VPC terlibat dalam komunikasi antara instans RDS Custom DB Anda dan Layanan AWS memenuhi persyaratan berikut:
+ Instans DB dapat membuat koneksi keluar pada port 443 ke Layanan AWS lainnya.
+ VPC mengizinkan respons masuk untuk permintaan yang berasal dari instans DB RDS Custom Anda.
+ RDS Custom dapat secara tepat me-resolve nama domain titik akhir untuk masing-masing Layanan AWS.

Jika Anda sudah mengonfigurasi VPC untuk mesin DB RDS Custom yang berbeda, Anda dapat menggunakan kembali VPC tersebut dan melewati proses ini.

**Topics**
+ [

##### Konfigurasikan grup keamanan VPC
](#custom-setup-sqlserver.vpc.sg)
+ [

##### Konfigurasikan titik akhir untuk dependen Layanan AWS
](#custom-setup-sqlserver.vpc.endpoints)
+ [

##### Konfigurasikan layanan metadata instans
](#custom-setup-sqlserver.vpc.imds)

##### Konfigurasikan grup keamanan VPC
<a name="custom-setup-sqlserver.vpc.sg"></a>

*Grup keamanan* bertindak sebagai firewall virtual untuk instans VPC, yang mengontrol lalu lintas masuk dan keluar. Instans RDS Custom DB memiliki grup keamanan yang terpasang pada antarmuka jaringannya yang melindungi instance. Pastikan grup keamanan Anda mengizinkan lalu lintas antara RDS Custom dan lainnya Layanan AWS melalui HTTPS. Anda meneruskan grup keamanan ini sebagai `vpc-security-group-ids` parameter dalam permintaan pembuatan instance.

**Untuk mengonfigurasi grup keamanan Anda untuk RDS Custom**

1. [Masuk ke Konsol Manajemen AWS dan buka konsol VPC Amazon di https://console.aws.amazon.com /vpc.](https://console.aws.amazon.com/vpc) 

1. Izinkan RDS Custom untuk menggunakan grup keamanan default, atau buat grup keamanan Anda sendiri.

   Untuk petunjuk mendetail, lihat [Memberikan akses ke instans DB di VPC Anda dengan membuat grup keamanan](CHAP_SettingUp.md#CHAP_SettingUp.SecurityGroup).

1. Pastikan grup keamanan Anda mengizinkan koneksi keluar pada port 443. RDS Custom membutuhkan port ini untuk berkomunikasi dengan Layanan AWS dependen.

1. Jika Anda memiliki VPC privat dan menggunakan titik akhir VPC, pastikan grup keamanan yang terkait dengan instans DB mengizinkan koneksi keluar pada port 443 ke titik akhir VPC. Pastikan juga bahwa grup keamanan yang terkait dengan VPC mengizinkan koneksi masuk pada port 443 dari instans DB.

   Jika koneksi masuk tidak diizinkan, instans RDS Custom tidak dapat terhubung ke AWS Systems Manager dan titik akhir Amazon EC2. Untuk informasi selengkapnya, lihat [Membuat titik akhir Cloud Privat Virtual](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-create-vpc.html) dalam *Panduan Pengguna AWS Systems Manager *.

1. Untuk instans RDS Custom for SQL Server Multi-AZ, pastikan bahwa grup keamanan yang terkait dengan instans DB memungkinkan koneksi masuk dan keluar pada port 1120 ke grup keamanan ini sendiri. Ini diperlukan untuk koneksi peer host pada Multi-AZ RDS Custom untuk instans SQL Server DB. 

Untuk informasi selengkapnya tentang grup keamanan, lihat [Grup keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dalam *Panduan Developer Amazon VPC*.

##### Konfigurasikan titik akhir untuk dependen Layanan AWS
<a name="custom-setup-sqlserver.vpc.endpoints"></a>

Kami menyarankan Anda menambahkan titik akhir untuk setiap layanan ke VPC Anda menggunakan petunjuk berikut. Namun, Anda dapat menggunakan solusi apa pun yang memungkinkan VPC Anda berkomunikasi dengan titik akhir AWS layanan. Misalnya, Anda dapat menggunakan Network Address Translation (NAT) atau AWS Direct Connect.

**Untuk mengonfigurasi titik akhir yang Layanan AWS dengannya RDS Custom berfungsi**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada bilah navigasi, gunakan pemilih Wilayah untuk memilih Wilayah AWS.

1. Di panel navigasi, pilih **Titik akhir**. Pada panel utama, pilih **Buat Titik Akhir**.

1. Untuk **Kategori layanan**, pilih **Layanan AWS**.

1. Untuk **Nama Layanan**, pilih titik akhir yang ditunjukkan dalam tabel.

1. Untuk **VPC**, pilih VPC Anda.

1. Untuk **Subnet**, pilih subnet dari setiap Zona Ketersediaan yang akan disertakan.

   Titik akhir VPC dapat menjangkau beberapa Availability Zone. AWS menciptakan sebuah elastic network interface untuk endpoint VPC di setiap subnet yang Anda pilih. Setiap antarmuka jaringan memiliki nama host Sistem Nama Domain (DNS) dan alamat IP privat.

1. Untuk **Grup keamanan**, pilih atau buat grup keamanan.

   Anda dapat menggunakan grup keamanan untuk mengontrol akses ke titik akhir Anda, seperti Anda menggunakan firewall. Pastikan bahwa grup keamanan mengizinkan koneksi masuk pada port 443 dari instans DB. Untuk informasi selengkapnya, lihat [Grup Keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dalam *Panduan Pengguna Amazon VPC*. 

1. Secara opsional, Anda dapat melampirkan kebijakan ke titik akhir VPC. Kebijakan endpoint dapat mengontrol akses Layanan AWS ke yang Anda sambungkan. Kebijakan default mengizinkan semua permintaan melewati titik akhir. Jika Anda menggunakan kebijakan kustom, pastikan permintaan dari instans DB diizinkan dalam kebijakan ini.

1. Pilih **Buat titik akhir**.

Tabel berikut menjelaskan cara menemukan daftar titik akhir yang dibutuhkan VPC Anda untuk komunikasi keluar.


| Layanan | Format titik akhir | Catatan dan tautan | 
| --- | --- | --- | 
|  AWS Systems Manager  |  Gunakan format titik akhir berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/custom-setup-sqlserver.html)  |  Untuk daftar titik akhir di setiap Wilayah, lihat [Titik akhir dan kuota AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html) dalam *Referensi Umum Amazon Web Services*.  | 
|  AWS Secrets Manager  |  Gunakan format titik akhir `secretsmanager.region.amazonaws.com`.  |  Untuk daftar titik akhir di setiap Wilayah, lihat [Titik akhir dan kuota AWS Secrets Manager](https://docs.aws.amazon.com/general/latest/gr/asm.html) dalam *Referensi Umum Amazon Web Services*.  | 
|  Amazon CloudWatch  |  Gunakan format titik akhir berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/custom-setup-sqlserver.html)  | Untuk daftar titik akhir di setiap Wilayah, lihat: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/custom-setup-sqlserver.html) | 
|  Amazon EC2  |  Gunakan format titik akhir berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/custom-setup-sqlserver.html)  |  Untuk daftar titik akhir di setiap Wilayah, lihat [Titik akhir dan kuota Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/general/latest/gr/ec2-service.html) dalam *Referensi Umum Amazon Web Services*.  | 
|  Amazon S3  |  Gunakan format titik akhir `s3.region.amazonaws.com`.  |  Untuk daftar titik akhir di setiap Wilayah, lihat [Titik akhir dan kuota Amazon Simple Storage Service](https://docs.aws.amazon.com/general/latest/gr/s3.html) dalam *Referensi Umum Amazon Web Services*.  Untuk mempelajari selengkapnya tentang titik akhir gateway untuk Amazon S3, lihat [Titik Akhir untuk Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) dalam *Panduan Developer Amazon VPC*.  Untuk mempelajari cara membuat titik akses, lihat [Membuat titik akses](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/access-points-create-ap.html) dalam *Panduan Developer Amazon VPC*. Untuk mempelajari cara membuat titik akhir gateway untuk Amazon S3, lihat [Titik akhir VPC Gateway](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html).  | 
|  Amazon Simple Queue Service  | Gunakan format titik akhir sqs.region.amazonaws.com | Untuk daftar titik akhir di setiap Wilayah, lihat titik akhir dan kuota [Amazon Simple Queue Service](https://docs.aws.amazon.com/general/latest/gr/sqs-service.html). | 

##### Konfigurasikan layanan metadata instans
<a name="custom-setup-sqlserver.vpc.imds"></a>

Pastikan instans Anda dapat melakukan hal berikut:
+ Akses layanan metadata instance menggunakan Instance Metadata Service Version 2 (). IMDSv2
+ Memungkinkan komunikasi keluar melalui port 80 (HTTP) ke alamat IP tautan IMDS.
+ Minta metadata instance dari`http://169.254.169.254`, tautan. IMDSv2 

Untuk informasi selengkapnya, lihat [Menggunakan IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) di *Panduan Pengguna Amazon EC2*.

## Pembatasan lintas-instance
<a name="custom-setup-sqlserver.cross-instance-restriction"></a>

Saat Anda membuat profil instans dengan mengikuti langkah-langkah di atas, profil tersebut menggunakan kebijakan AWS terkelola `AmazonRDSCustomInstanceProfileRolePolicy` untuk memberikan izin yang diperlukan ke RDS Custom yang memungkinkan pengelolaan instans dan otomatisasi pemantauan. Kebijakan terkelola memastikan bahwa izin hanya mengizinkan akses ke sumber daya yang diperlukan RDS Custom untuk menjalankan otomatisasi. Sebaiknya gunakan kebijakan terkelola untuk mendukung fitur baru dan memenuhi persyaratan keamanan yang secara otomatis diterapkan ke profil instans yang ada tanpa intervensi manual. Untuk informasi selengkapnya, lihat [kebijakan AWS terkelola: Amazon RDSCusto m InstanceProfileRolePolicy](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-security-iam-awsmanpol.html#rds-security-iam-awsmanpol-AmazonRDSCustomInstanceProfileRolePolicy).

Kebijakan `AmazonRDSCustomInstanceProfileRolePolicy` terkelola membatasi profil instans agar memiliki akses lintas akun, tetapi mungkin mengizinkan akses ke beberapa sumber daya terkelola Kustom RDS di seluruh instans Kustom RDS dalam akun yang sama. Berdasarkan kebutuhan Anda, Anda dapat menggunakan batas izin untuk membatasi akses lintas instans lebih lanjut. Batas izin menentukan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas, tetapi tidak memberikan izin sendiri. Untuk informasi selengkapnya, lihat [Mengevaluasi izin efektif dengan batasan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html#access_policies_boundaries-eval-logic).

Misalnya, kebijakan batas berikut membatasi peran profil instance untuk mengakses AWS KMS kunci tertentu dan membatasi akses ke sumber daya terkelola RDS Custom di seluruh instance yang menggunakan kunci berbeda. AWS KMS 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DenyOtherKmsKeyAccess",
            "Effect": "Deny",
            "Action": "kms:*",
            "NotResource": "arn:aws:kms:us-east-1:111122223333:key/KMS_key_ID"
        }
    ]
}
```

------

**catatan**  
Pastikan batas izin tidak memblokir izin apa pun yang diberikan kepada `AmazonRDSCustomInstanceProfileRolePolicy` RDS Custom.