Registrati per un Account AWS Crea un utente con accesso amministrativo Concessione dell'accesso programmatico Determinazione dei requisiti Fornisci l’accesso alla tua istanza database

Configurazione RDS dell'ambiente Amazon

Questa pagina fornisce una guida completa per la configurazione di Amazon Relational Database Service, inclusa la configurazione dell'account, la sicurezza e la gestione delle risorse. Ti guida attraverso i passaggi essenziali per creare, gestire e proteggere i tuoi ambienti di database in modo efficiente. Che tu sia un principiante di Amazon RDS o che stia effettuando la configurazione per requisiti specifici, queste sezioni aiutano a garantire che la configurazione sia ottimizzata e conforme alle best practice.

Argomenti

Registrati per un Account AWS
Crea un utente con accesso amministrativo
Concessione dell'accesso programmatico
Determinazione dei requisiti
Fornisci l'accesso alla tua istanza DB VPC tramite la creazione di un gruppo di sicurezza

Se ne hai già uno Account AWS, conosci i tuoi RDS requisiti Amazon e preferisci utilizzare le impostazioni predefinite per IAM i gruppi di VPC sicurezza, passa subito a. Nozioni di base su Amazon RDS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

Apri la https://portal.aws.amazon.com/billing/registrazione.
Segui le istruzioni online.

Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWS nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a https://aws.amazon.com/e scegliendo Il mio account.

Crea un utente con accesso amministrativo

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .
Attiva l'autenticazione a più fattori (MFA) per il tuo utente root.

Per istruzioni, consulta Abilitare un MFA dispositivo virtuale per l'utente Account AWS root (console) nella Guida per l'IAMutente.

Crea un utente con accesso amministrativo

Abilita IAM Identity Center.

Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .
In IAM Identity Center, concedi l'accesso amministrativo a un utente.

Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con i valori predefiniti IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore

Per accedere con l'utente dell'IAMIdentity Center, utilizza l'accesso URL che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

Per informazioni sull'accesso tramite un utente di IAM Identity Center, consulta Accesso al portale di AWS accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso a ulteriori utenti

In IAM Identity Center, crea un set di autorizzazioni che segua la migliore pratica di applicazione delle autorizzazioni con privilegi minimi.

Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .
Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).

Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center .

Concessione dell'accesso programmatico

Gli utenti necessitano di un accesso programmatico se desiderano interagire con AWS l'esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti in IAM Identity Center)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti in IAM Identity Center)

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.

IAM

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti.
Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Determinazione dei requisiti

L'elemento costitutivo di base di Amazon RDS è l'istanza DB. In un'istanza database, puoi creare i database. Un'istanza database fornisce un indirizzo di rete che si chiama un endpoint. Le applicazioni utilizzano questo endpoint per connettersi all'istanza database. Quando crei un'istanza database, specifichi dettagli come storage, memoria, motore di database e versione, configurazione di rete, sicurezza e periodi di manutenzione. Controlli l'accesso alla rete a un'istanza database tramite un gruppo di sicurezza.

Prima di creare un'istanza database e un gruppo di sicurezza, devi conoscere le necessità dell'istanza database e della rete. Ecco alcune cose importanti da considerare:

Requisiti delle risorse – Quali sono i requisiti di memoria e del processore per l'applicazione o il servizio? Utilizzi queste impostazioni per aiutare a determinare quale classe di istanza database da utilizzare. Per specifiche sulle classi di istanza database, consulta Classi di istanze DB .
VPC, sottorete e gruppo di sicurezza: molto probabilmente la tua istanza DB si troverà in un cloud privato virtuale (VPC). Per connetterti all'istanza database, devi configurare le regole del gruppo di sicurezza. Queste regole sono configurate in modo diverso a seconda del tipo di VPC sistema utilizzato e del modo in cui lo si utilizza. Ad esempio, è possibile utilizzare: un valore predefinito VPC o definito dall'utenteVPC.

L'elenco seguente descrive le regole per ogni VPC opzione:
- Predefinito VPC: se il tuo AWS account ha un valore predefinito VPC nella AWS regione corrente, questo VPC è configurato per supportare le istanze DB. Se specifichi l'impostazione predefinita VPC quando crei l'istanza DB, procedi come segue:
  - Assicurati di creare un gruppo VPC di sicurezza che autorizzi le connessioni dall'applicazione o dal servizio all'istanza Amazon RDS DB. Utilizza l'opzione Security Group sulla VPC console o AWS CLI per creare gruppi VPC di sicurezza. Per informazioni, consultare Fase 3: creazione di un gruppo di sicurezza VPC.
  - Specifica il gruppo di sottoreti del database predefinito. Se questa è la prima istanza DB che hai creato in questa AWS regione, Amazon RDS crea il gruppo di sottoreti DB predefinito quando crea l'istanza DB.
- Definita dall'utenteVPC: se desideri specificare un'istanza definita dall'utente VPC quando crei un'istanza DB, tieni presente quanto segue:
  - Assicurati di creare un gruppo VPC di sicurezza che autorizzi le connessioni dall'applicazione o dal servizio all'istanza Amazon RDS DB. Utilizza l'opzione Security Group sulla VPC console o AWS CLI per creare gruppi VPC di sicurezza. Per informazioni, consultare Fase 3: creazione di un gruppo di sicurezza VPC.
  - VPCDevono soddisfare determinati requisiti per ospitare istanze DB, ad esempio avere almeno due sottoreti, ciascuna in una zona di disponibilità separata. Per informazioni, consultare Amazon VPC e Amazon RDS Amazon.
  - Assicurati di specificare un gruppo di sottoreti DB che definisca quali sottoreti VPC possono essere utilizzate dall'istanza DB. Per informazioni, consulta la sezione del gruppo di sottoreti del database in Uso di un'istanza database in un VPC.
Elevata disponibilità: hai bisogno di supporto per il failover? Su AmazonRDS, una distribuzione Multi-AZ crea un'istanza DB principale e un'istanza DB secondaria in standby in un'altra zona di disponibilità per il supporto del failover. Consigliamo implementazioni Multi-AZ per carichi di lavoro di produzione per mantenere alta disponibilità. Per scopi di sviluppo e di test, puoi utilizzare un'implementazione che non è Multi-AZ. Per ulteriori informazioni, consulta Configurazione e gestione di una distribuzione Multi-AZ per Amazon RDS.
IAMpolitiche: il tuo AWS account dispone di politiche che concedono le autorizzazioni necessarie per eseguire RDS le operazioni di Amazon? Se ti connetti AWS utilizzando le IAM credenziali, il tuo IAM account deve disporre IAM di politiche che concedano le autorizzazioni necessarie per eseguire le operazioni di AmazonRDS. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon RDS.
Porte aperte: su quale porta TCP /IP viene ascoltato il database? I firewall in alcune aziende possono bloccare le connessioni alla porta predefinita del motore di database. Se il firewall dell'azienda blocca la porta predefinita, seleziona un'altra porta per la nuova istanza database. Quando si crea un'istanza database che ascolta su una porta che specifichi, puoi cambiare la porta modificando l'istanza database.
AWS Regione: in quale AWS regione vuoi inserire il tuo database? Avere il database in prossimità ravvicinata all'applicazione o servizio web può ridurre la latenza di rete. Per ulteriori informazioni, consulta Regioni, zone di disponibilità e Local Zones.
Sottosistema di dischi dei database: quali sono i requisiti di archiviazione? Amazon RDS offre tre tipi di storage:
- Scopo generale (SSD)
- Fornito IOPS () PIOPS
- Magnetico (noto anche come memoria standard)
Per ulteriori informazioni sullo RDS storage Amazon, consultaStorage delle istanze di database Amazon RDS.

Quando disponi delle informazioni, devi creare un gruppo di sicurezza e istanza database, continua alla fase successiva.

Fornisci l'accesso alla tua istanza DB VPC tramite la creazione di un gruppo di sicurezza

VPCi gruppi di sicurezza forniscono l'accesso alle istanze DB in unVPC. Fungono da firewall per l'istanza database associata, controllando sia il traffico in entrata che in uscita a livello di istanza database. Le istanze database vengono create come impostazione predefinita con un firewall e un gruppo di sicurezza predefinito che protegge l'istanza database.

Prima di connetterti a un'istanza database, devi aggiungere regole al gruppo di sicurezza che consentono di connettersi. Utilizza le informazione di rete e di configurazione per creare regole per permettere l'accesso all'istanza database.

Ad esempio, supponiamo di avere un'applicazione che accede a un database sulla tua istanza DB in un. VPC In questo caso, è necessario aggiungere una TCP regola personalizzata che specifichi l'intervallo di porte e gli indirizzi IP utilizzati dall'applicazione per accedere al database. Se hai un'applicazione su un'EC2istanza Amazon, puoi utilizzare il gruppo di sicurezza che hai configurato per l'EC2istanza Amazon.

Puoi configurare la connettività tra un'EC2istanza Amazon e un'istanza DB quando crei l'istanza DB. Per ulteriori informazioni, consulta Configura la connettività di rete automatica con un'istanza EC2.

Suggerimento

Puoi configurare automaticamente la connettività di rete tra un'EC2istanza Amazon e un'istanza DB quando crei l'istanza DB. Per ulteriori informazioni, consulta Configura la connettività di rete automatica con un'istanza EC2.

Per informazioni su come connettere le risorse in Amazon Lightsail alle tue istanze DB, consulta Connect Lightsail resources to use peering. Servizi AWS VPC

Per informazioni sugli scenari comuni per l'accesso a un'istanza database, consult Scenari per l'accesso a un di istanze DB in un VPC.

VPCPer creare un gruppo di sicurezza

Accedi a AWS Management Console e apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc.

Nota
Assicurati di essere nella VPC console, non nella RDS console.
Nell'angolo in alto a destra di AWS Management Console, scegli la AWS regione in cui desideri creare il gruppo di VPC sicurezza e l'istanza DB. Nell'elenco delle VPC risorse Amazon per quella AWS regione, dovresti vedere almeno una VPC o più sottoreti. In caso contrario, non hai un'impostazione predefinita VPC in quella AWS regione.
Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
Scegliere Create Security Group (Crea gruppo di sicurezza).

Viene visualizzata la pagina Create security group (Crea gruppo di sicurezza).
In Basic details (Dettagli di base), immettere il Security group name (Nome del gruppo di sicurezza) e la Description (Descrizione). Per VPC, scegli VPC quello in cui vuoi creare la tua istanza DB.
Per Inbound rules (Regole in entrata), scegli Add rule (Aggiungi regola).
1. Per Tipo, scegli Personalizzato TCP.
2. Per Port Range (Intervallo porte), digita il valore della porta da utilizzare per l’istanza database.
3. Per Origine, scegli il nome di un gruppo di sicurezza o digita l'intervallo di indirizzi IP (CIDRvalore) da cui accedi all'istanza DB. Se scegli My IP (Il mio IP), questo consente l'accesso all'istanza database dall'indirizzo IP rilevato nel browser.
Se occorre aggiungere altri indirizzi IP o intervalli di porta diversi, scegliere Add rule (Aggiungi regola) e immettere le informazioni relative alla regola.
(Facoltativo) In Outbound Rules (Regole in uscita), aggiungi regole per il traffico in uscita. Come impostazione predefinita, tutto il traffico in uscita è permesso.
Scegliere Create Security Group (Crea gruppo di sicurezza).

È possibile utilizzare il gruppo VPC di sicurezza appena creato come gruppo di sicurezza per l'istanza DB al momento della creazione.

Nota

Se utilizzi un valore predefinitoVPC, viene creato automaticamente un gruppo di sottoreti predefinito che comprende tutte VPC le sottoreti. Quando crei un'istanza DB, puoi selezionare l'impostazione predefinita VPC e utilizzare quella predefinita per DB Subnet Group.

Quando hai completato i requisiti di configurazione, puoi creare un'istanza database utilizzando i requisiti e il gruppo di sicurezza. Per farlo, segui le istruzioni in Creazione di un'istanza Amazon RDS DB. Per informazioni su come iniziare con la creazione di un'istanza database che utilizzi un motore DB specifico, consulta la documentazione pertinente nella tabella seguente.

Motore di database	Documentazione
MariaDB	Creazione e connessione di un'istanza database MariaDB
Microsoft SQL Server	Creazione e connessione a un'istanza DB di Microsoft SQL Server
Mio SQL	Creazione e connessione a un'istanza My SQL DB
Oracle	Creazione e connessione a un'istanza database Oracle
Poster SQL	Creazione e connessione a un'istanza DB Postgres SQL

Nota

Se non è possibile connettersi a un'istanza database dopo averla creata, consulta le informazioni sulla risoluzione dei problemi in Impossibile connettersi all'istanza database di Amazon RDS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione della fatturazione per le istanze DB riservate

Nozioni di base