Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione dell'ambiente per Amazon RDS Custom per Oracle
Prima di creare un'istanza database Amazon RDS Custom per Oracle, esegui le seguenti attività.
**Topics**
+ [Fase 1: Creare o riutilizzare una chiave di crittografia simmetrica AWS KMS](#custom-setup-orcl.cmk)
+ [Passaggio 2: scarica e installa il AWS CLI](#custom-setup-orcl.cli)
+ [Fase 3: Estrarre i CloudFormation modelli per RDS Custom for Oracle](#custom-setup-orcl.cf.downloading)
+ [Fase 4: configurazione di IAM per RDS Custom per Oracle](#custom-setup-orcl.iam-vpc)
+ [Fase 5: concessione delle autorizzazioni richieste al ruolo o utente IAM](#custom-setup-orcl.iam-user)
+ [Fase 6: configurazione del VPC per RDS Custom per Oracle](#custom-setup-orc.vpc-config)
## Fase 1: Creare o riutilizzare una chiave di crittografia simmetrica AWS KMS
Le *chiavi gestite dal cliente* si trovano AWS KMS keys nell' AWS account che crei, possiedi e gestisci. Per RDS Custom è necessaria una chiave KMS di crittografia simmetrica gestita dal cliente. Quando crei un'istanza database RDS Custom for Oracle, è necessario fornire l'identificatore KMS della chiave. Per ulteriori informazioni, consulta [Configurazione di un'istanza database per Amazon RDS Custom per Oracle](custom-creating.md).
Sono disponibili le seguenti opzioni:
+ Se disponi già di una chiave KMS gestita dal cliente Account AWS, puoi utilizzarla con RDS Custom. Non è richiesta alcuna operazione aggiuntiva.
+ Se hai già creato una chiave KMS di crittografia simmetrica gestita dal cliente per un motore RDS Custom diverso, puoi riutilizzare la stessa chiave KMS. Non è richiesta alcuna operazione aggiuntiva.
+ Se non disponi di una chiave KMS di crittografia simmetrica gestita dal cliente esistente nel tuo account, crea una chiave KMS seguendo le istruzioni in [Creazione di chiavi](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella *Guida per gli sviluppatori di AWS Key Management Service *.
+ Se stai creando un'istanza DB personalizzata CEV o RDS e la tua chiave KMS si trova in un'altra Account AWS, assicurati di utilizzare la. AWS CLI Non puoi utilizzare la AWS console con chiavi KMS per più account.
**Importante**
RDS Custom non supporta le chiavi KMS AWS gestite.
Assicurati che la tua chiave di crittografia simmetrica conceda l'accesso al ruolo `kms:Decrypt` and `kms:GenerateDataKey` operations to the AWS Identity and Access Management (IAM) nel profilo dell'istanza IAM. Se hai una nuova chiave di crittografia simmetrica nel tuo account, non sono necessarie modifiche. Altrimenti, assicurati che la policy della chiave di crittografia simmetrica fornisca l'accesso a queste operazioni.
Per ulteriori informazioni, consulta [Fase 4: configurazione di IAM per RDS Custom per Oracle](#custom-setup-orcl.iam-vpc).
Per ulteriori informazioni sulla configurazione di IAM per RDS Custom per Oracle, consulta [Fase 4: configurazione di IAM per RDS Custom per Oracle](#custom-setup-orcl.iam-vpc).
## Passaggio 2: scarica e installa il AWS CLI
AWS fornisce un'interfaccia a riga di comando per utilizzare le funzionalità RDS Custom. È possibile utilizzare la versione 1 o la versione 2 di AWS CLI.
Per informazioni sul download e l'installazione di AWS CLI, vedere [Installazione o aggiornamento della versione più recente](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) di. AWS CLI
Ignora questo passaggio se si verifica una delle seguenti condizioni:
+ Si prevede di accedere a RDS Custom solo da. Console di gestione AWS
+ Hai già scaricato AWS CLI per Amazon RDS o un altro motore RDS Custom DB.
## Fase 3: Estrarre i CloudFormation modelli per RDS Custom for Oracle
Per semplificare la configurazione, si consiglia vivamente di utilizzare i CloudFormation modelli per creare CloudFormation pile. Se prevedi di configurare IAM e il VPC manualmente, puoi saltare questo passaggio.
**Topics**
+ [Passaggio 3a: scarica i file del modello CloudFormation](#custom-setup-orcl.cf.dl-templates)
+ [Passaggio 3b: Estrarre .json custom-oracle-iam](#custom-setup-orcl.cf.downloading.ca-role)
+ [Fase 3c: estrazione di custom-vpc.json](#custom-setup-orcl.cf.downloading.ca-pn)
### Passaggio 3a: scarica i file del modello CloudFormation
Un CloudFormation modello è una dichiarazione delle AWS risorse che compongono uno stack. Il modello viene archiviato come un file JSON.
**Per scaricare i file CloudFormation modello**
1. Apri il menu contestuale (fai clic con il pulsante destro del mouse) per il link [custom-oracle-iam.zip](samples/custom-oracle-iam.zip) e scegli **Salva collegamento** con nome.
1. Salvare il file sul computer.
1. Ripeti i passaggi precedenti per il collegamento [custom-vpc.json](samples/custom-vpc.zip).
Se si ha già configurato il VPC per RDS Custom, questo passaggio può essere ignorato.
### Passaggio 3b: Estrarre .json custom-oracle-iam
Apri il file `custom-oracle-iam.zip` che hai scaricato, quindi estrai il file `custom-oracle-iam.json`. L’inizio del file è simile a quanto segue.
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Parameters": {
"EncryptionKey": {
"Type": "String",
"Default": "*",
"Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances."
}
},
"Resources": {
"RDSCustomInstanceServiceRole": {
"Type": "AWS::IAM::Role",
"Properties": {
"RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" },
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
}
}
]
},...
```
### Fase 3c: estrazione di custom-vpc.json
**Nota**
Se hai già configurato un VPC esistente per RDS Custom per Oracle, puoi saltare questo passaggio. Per ulteriori informazioni, consulta [Configurazione manuale del VPC per RDS Custom per Oracle](#custom-setup-orcl.vpc).
Apri il file `custom-vpc.zip` che hai scaricato, quindi estrai il file `custom-vpc.json`. L’inizio del file è simile a quanto segue.
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Parameters": {
"PrivateVpc": {
"Type": "AWS::EC2::VPC::Id",
"Description": "Private VPC Id to use for RDS Custom DB Instances"
},
"PrivateSubnets": {
"Type": "List",
"Description": "Private Subnets to use for RDS Custom DB Instances"
},
"RouteTable": {
"Type": "String",
"Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint",
"AllowedPattern": "rtb-[0-9a-z]+"
}
},
"Resources": {
"DBSubnetGroup": {
"Type": "AWS::RDS::DBSubnetGroup",
"Properties": {
"DBSubnetGroupName": "rds-custom-private",
"DBSubnetGroupDescription": "RDS Custom Private Network",
"SubnetIds": {
"Ref": "PrivateSubnets"
}
}
},...
```
## Fase 4: configurazione di IAM per RDS Custom per Oracle
Utilizzi un ruolo IAM o un utente IAM (conosciuto come entità IAM) per creare un'istanza database RDS Custom tramite la console o la AWS CLI. Questa entità IAM deve disporre delle autorizzazioni necessarie per la creazione dell'istanza.
Puoi configurare IAM utilizzando una delle due procedure CloudFormation o quelle manuali.
**Importante**
Ti consigliamo vivamente di configurare l'ambiente RDS Custom for Oracle utilizzando CloudFormation. Questa tecnica è la più semplice e meno soggetta a errori.
**Topics**
+ [Configura IAM utilizzando CloudFormation](#custom-setup-orcl.cf.config-iam)
+ [Creare manualmente il ruolo IAM e il profilo dell'istanza](#custom-setup-orcl.iam)
### Configura IAM utilizzando CloudFormation
Quando utilizzi il CloudFormation modello per IAM, crea le seguenti risorse richieste:
+ Un profilo dell’istanza denominato `AWSRDSCustomInstanceProfile-region`
+ Un ruolo di servizio denominato `AWSRDSCustomInstanceRole-region`
+ Una policy di accesso denominata `AWSRDSCustomIamRolePolicy` collegata al ruolo di servizio
**Per configurare IAM utilizzando CloudFormation**
1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformazione.](https://console.aws.amazon.com/cloudformation/)
1. Avviare la procedura guidata Crea stack e scegliere **Create Stack (Crea stack)**.
1. Nella pagina **Create stack** (Crea stack), esegui le operazioni seguenti:
1. In **Prepare template** (Prepara modello) scegli **Template is ready** (Il modello è pronto).
1. Come **Template source (Origine modello)**, scegliere **Upload a template file (Carica un file di modello)**.
1. **Per **Scegli file**, vai a, quindi scegli .json. custom-oracle-iam**
1. Scegli **Next (Successivo)**.
1. Nella pagina **Specify stack details (Specifica dettagli)**, procedere come segue:
1. In **Nome stack**, immetti **custom-oracle-iam**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Configure stack options (Configura opzioni pila)**, scegliere **Next (Successivo)**.
1. Nella pagina **Review (Rivedi) custom-oracle-iam**, effettua le operazioni seguenti:
1. Seleziona la casella di spunta ****I acknowledge that CloudFormation might create IAM resources with custom names**** (Sono consapevole che CloudFormation potrebbe creare risorse IAM con nomi personalizzati).
1. Seleziona **Invia**.
CloudFormation crea i ruoli IAM richiesti da RDS Custom for Oracle. Nel pannello di sinistra, quando viene **custom-oracle-iam**visualizzato **CREATE\$1COMPLETE**, procedi al passaggio successivo.
1. Nel pannello di sinistra, scegliete. **custom-oracle-iam** Nel riquadro d i destra esegui queste operazioni:
1. Scegli **Informazioni stack**. Il tuo stack ha un ID nel formato **arn:aws:cloudformation: ::stack/**. *region* *account-no* custom-oracle-iam *identifier*
1. Scegliere **Resources** (Risorse). Verrà visualizzato un codice analogo al seguente:
+ Un **AWSRDSCustomInstanceProfileprofilo** di istanza denominato - *region*
+ Un ruolo di servizio denominato **AWSRDSCustomInstanceRole- *region***
Quando viene creata l'istanza database RDS Custom, è necessario fornire l'ID del profilo dell'istanza.
### Creare manualmente il ruolo IAM e il profilo dell'istanza
La configurazione è più semplice quando si utilizza CloudFormation. Tuttavia, è possibile configurare IAM anche manualmente. Per la configurazione manuale, segui questa procedura:
+ [Fase 1: creazione di un ruolo IAM per AWSRDSCustomInstanceRoleForRdsCustomInstance](#custom-setup-orcl.iam.create-role).
+ [Fase 2: Aggiungere una politica di accesso a AWSRDSCustom InstanceRoleForRdsCustomInstance](#custom-setup-orcl.iam.add-policy).
+ [Fase 2: Aggiungere una politica di accesso a AWSRDSCustom InstanceRoleForRdsCustomInstance](#custom-setup-orcl.iam.create-profile).
+ [Passaggio 4: Aggiungi AWSRDSCustom InstanceRoleForRdsCustomInstance a AWSRDSCustom InstanceProfile](#custom-setup-orcl.iam.add-profile).
#### Fase 1: creazione di un ruolo IAM per AWSRDSCustomInstanceRoleForRdsCustomInstance
In questo passaggio, crei il ruolo utilizzando il formato di denominazione `AWSRDSCustomInstanceRole-region`. Utilizzando la policy di affidabilità, Amazon EC2 può assumere il ruolo. L'esempio seguente presuppone che tu abbia impostato la variabile di ambiente `$REGION` nella Regione AWS in cui desideri creare l'istanza database.
```
aws iam create-role \
--role-name AWSRDSCustomInstanceRole-$REGION \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
}
}
]
}'
```
#### Fase 2: Aggiungere una politica di accesso a AWSRDSCustom InstanceRoleForRdsCustomInstance
Quando si incorpora una policy in linea in un ruolo IAM, la policy in linea viene utilizzata come parte della policy di accesso (autorizzazioni) del ruolo. Creare la policy `AWSRDSCustomIamRolePolicy` che consente ad Amazon EC2 di inviare e ricevere messaggi ed eseguire varie azioni.
Nell'esempio seguente viene creata la policy di accesso denominata `AWSRDSCustomIamRolePolicy` e la si aggiunge al ruolo IAM`AWSRDSCustomInstanceRole-region`. Questo esempio presuppone che siano state impostate le seguenti variabili di ambiente:
`$REGION`
Imposta questa variabile sulla variabile Regione AWS in cui intendi creare l'istanza DB.
`$ACCOUNT_ID`
Imposta questa variabile sul tuo Account AWS numero.
`$KMS_KEY`
Imposta questa variabile sul nome della risorsa Amazon (ARN) della AWS KMS key da utilizzare per le istanze database RDS Custom. Per specificare più di una chiave KMS, aggiungerla alla sezione `Resources` dell'istruzione ID (Sid) 11.
```
aws iam put-role-policy \
--role-name AWSRDSCustomInstanceRole-$REGION \
--policy-name AWSRDSCustomIamRolePolicy \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Action": [
"ssm:DescribeAssociation",
"ssm:GetDeployablePatchSnapshotForInstance",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:GetManifest",
"ssm:GetParameter",
"ssm:GetParameters",
"ssm:ListAssociations",
"ssm:ListInstanceAssociations",
"ssm:PutInventory",
"ssm:PutComplianceItems",
"ssm:PutConfigurePackageResult",
"ssm:UpdateAssociationStatus",
"ssm:UpdateInstanceAssociationStatus",
"ssm:UpdateInstanceInformation",
"ssm:GetConnectionStatus",
"ssm:DescribeInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": [
"*"
]
},
{
"Sid": "2",
"Effect": "Allow",
"Action": [
"ec2messages:AcknowledgeMessage",
"ec2messages:DeleteMessage",
"ec2messages:FailMessage",
"ec2messages:GetEndpoint",
"ec2messages:GetMessages",
"ec2messages:SendReply"
],
"Resource": [
"*"
]
},
{
"Sid": "3",
"Effect": "Allow",
"Action": [
"logs:PutRetentionPolicy",
"logs:PutLogEvents",
"logs:DescribeLogStreams",
"logs:DescribeLogGroups",
"logs:CreateLogStream",
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*"
]
},
{
"Sid": "4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::do-not-delete-rds-custom-*/*"
]
},
{
"Sid": "5",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"RDSCustomForOracle/Agent"
]
}
}
},
{
"Sid": "6",
"Effect": "Allow",
"Action": [
"events:PutEvents"
],
"Resource": [
"*"
]
},
{
"Sid": "7",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": [
"arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*",
"arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:rds-custom!oracle-do-not-delete-*"
]
},
{
"Sid": "8",
"Effect": "Allow",
"Action": [
"s3:ListBucketVersions"
],
"Resource": [
"arn:aws:s3:::do-not-delete-rds-custom-*"
]
},
{
"Sid": "9",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AWSRDSCustom": "custom-oracle"
}
}
},
{
"Sid": "10",
"Effect": "Allow",
"Action": "ec2:CreateSnapshots",
"Resource": [
"arn:aws:ec2:*::snapshot/*"
]
},
{
"Sid": "11",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'"
]
},
{
"Sid": "12",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:CreateAction": [
"CreateSnapshots"
]
}
}
},
{
"Sid": "13",
"Effect": "Allow",
"Action": [
"sqs:SendMessage",
"sqs:ReceiveMessage",
"sqs:DeleteMessage",
"sqs:GetQueueUrl"
],
"Resource": "arn:aws:sqs:'$REGION':'$ACCOUNT_Id':do-not-delete-rds-custom-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/AWSRDSCustom": "custom-oracle"
}
}
}
]
}'
```
#### Passaggio 3: creare il profilo dell'istanza RDS Custom AWSRDSCustom InstanceProfile
Un profilo dell'istanza è un container che include un ruolo IAM singolo. RDS Custom utilizza il profilo dell'istanza per trasferire il ruolo all'istanza.
Se utilizzi la CLI per creare un ruolo, è necessario creare il ruolo e il profilo dell'istanza come operazioni distinte, con nomi potenzialmente diversi. Crea il profilo dell'istanza IAM come segue, denominandolo utilizzando il formato `AWSRDSCustomInstanceProfile-region`. L'esempio seguente presuppone che la variabile di ambiente sia stata impostata `$REGION` su quella Regione AWS in cui si desidera creare l'istanza DB.
```
aws iam create-instance-profile \
--instance-profile-name AWSRDSCustomInstanceProfile-$REGION
```
#### Passaggio 4: Aggiungi AWSRDSCustom InstanceRoleForRdsCustomInstance a AWSRDSCustom InstanceProfile
Aggiungi il ruolo IAM al profilo dell'istanza creato in precedenza. L'esempio seguente presuppone che la variabile di ambiente sia stata impostata `$REGION` su quella Regione AWS in cui si desidera creare l'istanza DB.
```
aws iam add-role-to-instance-profile \
--instance-profile-name AWSRDSCustomInstanceProfile-$REGION \
--role-name AWSRDSCustomInstanceRole-$REGION
```
## Fase 5: concessione delle autorizzazioni richieste al ruolo o utente IAM
Assicurati che il principale IAM (ruolo o utente) che crea la CEV o l’istanza database RDS Custom disponga di una delle policy seguenti:
+ La policy `AdministratorAccess`
+ La `AmazonRDSFullAccess` policy con le autorizzazioni richieste per Amazon S3 AWS KMS e la creazione di CEV e la creazione di istanze DB
**Topics**
+ [Autorizzazioni IAM richieste per Amazon S3 e AWS KMS](#custom-setup-orcl.s3-kms)
+ [Autorizzazioni IAM richieste per la creazione di una CEV](#custom-setup-orcl.cev)
+ [Autorizzazioni richieste per la creazione di un'istanza database da una CEV](#custom-setup-orcl.db)
### Autorizzazioni IAM richieste per Amazon S3 e AWS KMS
Per creare le CEVs nostre istanze DB RDS personalizzate per Oracle, il tuo principale IAM deve accedere ad Amazon S3 e. AWS KMS La policy JSON di esempio seguente fornisce le autorizzazioni necessarie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateS3Bucket",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketPolicy",
"s3:PutBucketObjectLockConfiguration",
"s3:PutBucketVersioning"
],
"Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
},
{
"Sid": "CreateKmsGrant",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni sull'autorizzazione `kms:CreateGrant`, consulta [AWS KMS key gestione](Overview.Encryption.Keys.md).
### Autorizzazioni IAM richieste per la creazione di una CEV
Per creare una CEV, il principale IAM deve disporre delle seguenti autorizzazioni aggiuntive:
```
s3:GetObjectAcl
s3:GetObject
s3:GetObjectTagging
s3:ListBucket
mediaimport:CreateDatabaseBinarySnapshot
```
La seguente policy JSON di esempio concede le autorizzazioni aggiuntive necessarie per accedere al bucket e al suo contenuto. *my-custom-installation-files*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToS3MediaBucket",
"Effect": "Allow",
"Action": [
"s3:GetObjectAcl",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::my-custom-installation-files",
"arn:aws:s3:::my-custom-installation-files/*"
]
},
{
"Sid": "PermissionForByom",
"Effect": "Allow",
"Action": [
"mediaimport:CreateDatabaseBinarySnapshot"
],
"Resource": "*"
}
]
}
```
------
Puoi concedere autorizzazioni simili per Amazon S3 agli account dei chiamanti utilizzando una politica del bucket S3.
### Autorizzazioni richieste per la creazione di un'istanza database da una CEV
Per creare un’istanza database RDS Custom per Oracle da una CEV esistente, il principale IAM deve disporre delle seguenti autorizzazioni aggiuntive:
```
iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging
```
La seguente policy JSON di esempio concede le autorizzazioni necessarie per convalidare un ruolo IAM e registrare le informazioni su un AWS CloudTrail.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ValidateIamRole",
"Effect": "Allow",
"Action": "iam:SimulatePrincipalPolicy",
"Resource": "*"
},
{
"Sid": "CreateCloudTrail",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateTrail",
"cloudtrail:StartLogging"
],
"Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
}
]
}
```
------
## Fase 6: configurazione del VPC per RDS Custom per Oracle
L'istanza database di RDS Custom si trova in un cloud privato virtuale (VPC) basato sul servizio Amazon VPC, proprio come un'istanza Amazon EC2 o un'istanza Amazon RDS. Fornisci e configuri il VPC personalizzato. A differenza di RDS Custom per SQL Server, RDS Custom per Oracle non crea una lista di controllo degli accessi (ACL) o gruppi di sicurezza. È necessario associare il proprio gruppo di sicurezza, le proprie sottoreti e le proprie tabelle di routing.
Puoi configurare il tuo cloud privato virtuale (VPC) utilizzando uno dei due CloudFormation o un processo manuale.
**Importante**
Ti consigliamo vivamente di configurare l'ambiente RDS Custom for Oracle utilizzando. CloudFormation Questa tecnica è la più semplice e meno soggetta a errori.
**Topics**
+ [Configura il tuo VPC usando CloudFormation (consigliato)](#custom-setup-orcl.cf.config-vpc)
+ [Configurazione manuale del VPC per RDS Custom per Oracle](#custom-setup-orcl.vpc)
### Configura il tuo VPC usando CloudFormation (consigliato)
Se hai già configurato il VPC per un motore RDS Custom diverso e vuoi riutilizzare il VPC esistente, questo passaggio può essere ignorato. In questa sezione si presuppone quanto segue:
+ Hai già creato il profilo e il ruolo dell'istanza IAM. CloudFormation
+ Conosci l'ID della tabella di routing.
Affinché un'istanza database sia privata, deve trovarsi in una sottorete privata. Affinché una sottorete sia privata, non deve essere associata a una tabella di routing con un gateway Internet. Per maggiori informazioni, consulta [Configurazione delle tabelle di instradamento](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) nella *Guida per l'utente di Amazon VPC*.
Quando usi il CloudFormation modello per il tuo VPC, crea le seguenti risorse:
+ Un VPC privato
+ Un gruppo di sottoreti denominato `rds-custom-private`
+ I seguenti endpoint VPC, che l’istanza database utilizza per comunicare con i Servizi AWS dipendenti:
+ `com.amazonaws.region.ec2messages`
+ `com.amazonaws.region.events`
+ `com.amazonaws.region.logs`
+ `com.amazonaws.region.monitoring`
+ `com.amazonaws.region.s3`
+ `com.amazonaws.region.secretsmanager`
+ `com.amazonaws.region.ssm`
+ `com.amazonaws.region.ssmmessages`
Se si sta creando un’implementazione Multi-AZ:
+ `com.amazonaws.region.sqs`
**Nota**
Per una configurazione di rete complessa con account esistenti, è consigliabile configurare manualmente l’accesso ai servizi dipendenti se l’accesso non esiste già. Per ulteriori informazioni, consulta [Assicurati che il tuo VPC possa accedere in modo dipendente Servizi AWS](#custom-setup-orcl.vpc.endpoints).
**Per configurare il tuo VPC usando CloudFormation**
1. Apri la CloudFormation console all'indirizzo [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Avvia la procedura guidata Crea stack, scegli **Crea stack** e poi **Con nuove risorse (standard)**.
1. Nella pagina **Create stack** (Crea stack), esegui le operazioni seguenti:
1. In **Prepare template** (Prepara modello) scegli **Template is ready** (Il modello è pronto).
1. Come **Template source (Origine modello)**, scegliere **Upload a template file (Carica un file di modello)**.
1. Per **Scegliere file**, andare su e scegliere `custom-vpc.json`.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Specify stack details (Specifica dettagli)**, procedere come segue:
1. In **Nome stack**, immetti **custom-vpc**.
1. Come **Parameters (Parametri)**, scegliere le sottoreti private da utilizzare per le istanze database RDS Custom.
1. Scegliere l'ID VPC privato da utilizzare per le istanze database RDS Custom.
1. Inserire la tabella di routing associata alle sottoreti private.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Configure stack options (Configura opzioni pila)**, scegliere **Next (Successivo)**.
1. Nella pagina **Verifica custom-vpc**, scegli **Invia**.
CloudFormation configura il tuo VPC privato. Nel pannello a sinistra, quando **custom-vpc** indica **CREATE\$1COMPLETE**, esegui al passaggio successivo.
1. (Facoltativo) Verifica i dettagli del VPC. Nel riquadro **Stack**, scegli **custom-vpc**. Nel riquadro di destra eseguire queste operazioni:
1. Scegli **Informazioni stack**. Il tuo stack ha un ID nel formato **arn:aws:cloudformation**: ::stack/custom-vpc/. *region* *account-no* *identifier*
1. Scegliere **Resources** (Risorse). **Dovresti vedere un gruppo di sottoreti denominato **rds-custom-private**e diversi endpoint VPC che utilizzano il formato di denominazione vpce-. *string*** Ogni endpoint corrisponde a un dispositivo con cui RDS Custom deve Servizio AWS comunicare. Per ulteriori informazioni, consulta [Assicurati che il tuo VPC possa accedere in modo dipendente Servizi AWS](#custom-setup-orcl.vpc.endpoints).
1. Scegli **Aggiungi parametro**. Dovresti vedere le sottoreti private, il VPC privato e la tabella di routing che hai specificato quando hai creato lo stack. Quando viene creata un'istanza database, è necessario fornire l'ID VPC e il gruppo di sottoreti.
### Configurazione manuale del VPC per RDS Custom per Oracle
In alternativa all'automazione della creazione di VPC CloudFormation con, puoi configurare il tuo VPC manualmente. Questa opzione potrebbe essere la migliore quando si dispone di una configurazione di rete complessa che utilizza le risorse esistenti.
**Topics**
+ [Assicurati che il tuo VPC possa accedere in modo dipendente Servizi AWS](#custom-setup-orcl.vpc.endpoints)
+ [Configurazione del servizio di metadati dell'istanza](#custom-setup-orcl.vpc.imds)
#### Assicurati che il tuo VPC possa accedere in modo dipendente Servizi AWS
RDS Custom invia la comunicazione dall'istanza database ad altri Servizi AWS. Assicurati che i seguenti servizi siano accessibili dalla sottorete in cui crei le istanze database RDS Custom:
+ Amazon CloudWatch (`com.amazonaws.region.monitoring`)
+ CloudWatch Registri Amazon () `com.amazonaws.region.logs`
+ CloudWatch Eventi Amazon (`com.amazonaws.region.events`)
+ Amazon EC2 (`com.amazonaws.region.ec2` e `com.amazonaws.region.ec2messages`)
+ Amazon S3 (`com.amazonaws.region.s3`)
+ Gestione dei segreti AWS (`com.amazonaws.region.secretsmanager`)
+ AWS Systems Manager (`com.amazonaws.region.ssm`e`com.amazonaws.region.ssmmessages`)
Per la creazione di implementazioni Multi-AZ
+ Amazon Simple Queue Service (`com.amazonaws.region.sqs`)
Se RDS Custom non è in grado di comunicare con i servizi necessari, pubblica i seguenti eventi:
```
Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
```
```
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"
```
Per evitare `incompatible-network` errori, assicurati che i componenti VPC coinvolti nella comunicazione tra l'istanza DB personalizzata di RDS Servizi AWS soddisfino i seguenti requisiti:
+ L'istanza database può effettuare connessioni in uscita sulla porta 443 ad altri Servizi AWS.
+ Il VPC consente risposte in entrata alle richieste che originano dall'istanza database RDS Custom.
+ RDS Custom può risolvere correttamente i nomi di dominio degli endpoint per ogni Servizio AWS.
Se hai già configurato un VPC per un motore di database RDS Custom diverso, puoi riutilizzare tale VPC e ignorare questo processo.
#### Configurazione del servizio di metadati dell'istanza
Verificare che l'istanza possa fare:
+ Accedi al servizio di metadati dell'istanza utilizzando Instance Metadata Service versione 2 (). IMDSv2
+ Consenti comunicazioni in uscita tramite la porta 80 (HTTP) all'indirizzo IP del collegamento IMDS.
+ Richiedi i metadati dell'istanza da`http://169.254.169.254`, il link. IMDSv2
Per ulteriori informazioni, consulta [Use IMDSv2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) in the *Amazon EC2 User Guide*.
L'automazione RDS Custom for Oracle viene utilizzata per IMDSv2 impostazione predefinita, impostando `HttpTokens=enabled` sull'istanza Amazon EC2 sottostante. Tuttavia, puoi usare IMDSv1 se lo desideri. Per ulteriori informazioni, consulta [Configurazione delle opzioni dei metadati dell’istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-options.html) nella *Guida per l’utente di Amazon EC2*.