Configuration d'une instance de base de données pour Amazon RDS Custom for Oracle - Amazon Relational Database Service
Création d'une instance de base de données RDS Custom for OracleConsidérations relatives à l'architecture multilocataireRôle lié à un service RDS CustomInstallation de composants logiciels supplémentaires sur votre instance de base de données RDS Custom for OracleConnexion via SSH

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'une instance de base de données pour Amazon RDS Custom for Oracle

Vous pouvez créer une instance de base de données RDS Custom, puis vous y connecter à l'aide de Secure Shell (SSH) ou de AWS Systems Manager.

Pour plus d'informations sur la connexion et la connexion à une instance de base de données RDS Custom pour Oracle, consultez les rubriques suivantes.

Création d'une instance de base de données RDS Custom for Oracle

Créez une instance de base de données Amazon RDS personnalisée pour Oracle à l'aide du AWS Management Console ou du AWS CLI. La procédure est similaire à la procédure de création d'une instance de base de données Amazon RDS. Pour de plus amples informations, veuillez consulter Création d'une instance de base de données Amazon RDS.

Si vous avez inclus des paramètres d'installation dans votre manifeste CEV, votre instance de base de données utilise la base Oracle, le répertoire de base de base de données Oracle, ainsi que l'ID et le nom de l'utilisateur et du groupe UNIX/Linux que vous avez spécifiés. Le fichier oratab, créé par Oracle Database lors de l'installation, pointe vers l'emplacement d'installation réel plutôt que vers un lien symbolique. Quand RDS Custom for Oracle exécute des commandes, il s'exécute en tant qu'utilisateur du système d'exploitation configuré plutôt qu'en tant qu'utilisateur par défaut rdsdb. Pour de plus amples informations, veuillez consulter Étape 5 : Préparation du CEV manifeste.

Avant d'essayer de créer une instance de base de données RDS Custom ou de vous y connecter, réalisez les tâches dans Configuration de votre environnement pour Amazon RDS Custom for Oracle.

Pour créer une instance de base de données RDS Custom for Oracle

  1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/l'adresse.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données).

  3. Choisissez Create database (Créer une base de données).

  4. Dans Choose a database creation method (Choisir une méthode de création de base de données), sélectionnez Standard Create (Création standard).

  5. Dans la section Options de moteur, procédez comme suit :

    1. Pour Engine type (Type de moteur), choisissez Oracle.

    2. Pour Database management type (Type de gestion de la base de données), choisissez Amazon RDS Custom.

    3. Pour Paramètres d'architecture, procédez de l'une des manières suivantes :

      • Sélectionnez Architecture à locataires multiples pour créer une base de données de conteneurs (CDB). Lors de sa création, votre CDB contient un conteneur initial de PDB et une PDB initiale.

        Note

        Le paramètre Architecture à locataires multiples est pris en charge uniquement pour Oracle Database 19c.

      • Effacez Architecture à locataires multiples pour créer une base de données non-CDB. Un fichier non CDB ne peut pas contenir. PDBs

    4. Pour Edition, choisissez Oracle Enterprise Edition ou Oracle Standard Edition 2.

    5. Pour Version de moteur personnalisée, choisissez une version de moteur personnalisée (CEV) RDS Custom existante. Une CEV a le format suivant : major-engine-version.customized_string. Un exemple d'identificateur est 19.cdb_cev1.

      Si vous avez choisi l'architecture multitenant à l'étape précédente, vous ne pouvez spécifier qu'un CEV utilisant le type de custom-oracle-se2-cdb moteur custom-oracle-ee-cdb or. La console filtre ceux CEVs qui ont été créés avec différents types de moteurs.

  6. Dans Templates (Modèles), sélectionnez Production.

  7. Dans la section Settings (Paramètres), procédez comme suit :

    1. Pour Identifiant d'instance de base de données, saisissez un nom unique pour votre instance de base de données.

    2. Pour Identifiant principal, saisissez un nom d'utilisateur. Vous pouvez récupérer cette valeur à partir de la console ultérieurement.

      Lorsque vous vous connectez à une base de données non-CDB, l'utilisateur principal est l'utilisateur de la base de données non-CDB. Lorsque vous vous connectez à une CDB, l'utilisateur principal est l'utilisateur de la PDB. Pour vous connecter à la racine CDB, connectez-vous à l'hôte, démarrez un client SQL et créez un utilisateur administratif à l'aide de commandes SQL.

    3. Effacez Générer automatiquement un mot de passe.

  8. Choisissez une Classe d'instance de base de données.

    Pour connaître les classes prises en charge, consultez Prise en charge de la classe d'instance de base de données pour RDS Custom for Oracle.

  9. Dans la section Storage (Stockage), procédez comme suit :

    1. Pour Type de stockage, choisissez un type de SSD : io1, gp2 ou gp3. Vous disposez des options supplémentaires suivantes :

      • Pour io1 ou gp3, choisissez un taux pour IOPS provisionnés. La valeur par défaut est 1 000 pour io1 et 12 000 pour gp3.

      • Pour gp3, choisissez un taux pour Débit de stockage. La valeur par défaut est 500 MiBps.

    2. Pour Stockage alloué, choisissez une taille de stockage. La valeur par défaut est 40 Gio.

  10. Pour Connectivité, spécifiez votre Cloud privé virtuel (VPC), votre Groupe de sous-réseaux de base de données et votre Groupe de sécurité VPC (pare-feu).

  11. Pour RDS Custom security (Sécurité RDS Custom), procédez comme suit :

    1. Pour IAM instance profile (Profil d'instance IAM), choisissez le profil d'instance de votre instance de base de données RDS Custom for Oracle.

      Le profil d'instance IAM doit commencer par AWSRDSCustom, par exemple AWSRDSCustomInstanceProfileForRdsCustomInstance.

    2. Pour le chiffrement, choisissez Enter a key ARN pour répertorier les AWS KMS clés disponibles. Choisissez ensuite votre clé dans la liste.

      Une AWS KMS clé est requise pour RDS Custom. Pour de plus amples informations, veuillez consulter Étape 1 : Créer ou réutiliser une clé de chiffrement symétrique AWS KMS.

  12. Pour Options de base de données, procédez comme suit :

    1. (Facultatif) Pour Identifiant système (SID), entrez une valeur pour le SID Oracle, qui est également le nom de votre CDB. Le SID est le nom de l'instance de base de données Oracle qui gère vos fichiers de base de données. Dans ce contexte, le terme « instance de base de données Oracle » fait exclusivement référence à la zone SGA (System Global Area) et aux processus d'arrière-plan d'Oracle. Si vous ne spécifiez pas de SID, la valeur par défaut est RDSCDB.

    2. (Facultatif) Pour Nom de la base de données initiale, saisissez un nom. La valeur par défaut est ORCL. Dans une architecture à locataires multiples, le nom de la base de données initiale est le nom de la PDB.

      Note

      Le SID et le nom de la PDB doivent être différents.

    3. Pour Groupe d'options, choisissez un groupe d'options ou acceptez le groupe par défaut.

      Note

      La seule option prise en charge pour RDS Custom pour Oracle estTimezone. Pour de plus amples informations, veuillez consulter Fuseau horaire Oracle.

    4. Pour Période de rétention des sauvegardes, choisissez une valeur. Vous ne pouvez pas choisir 0 jour.

    5. Pour les sections restantes, spécifiez vos paramètres d'instance de base de données RDS Custom préférés. Pour obtenir des informations sur chaque paramètre, consultez Paramètres des instances de base de données. Les paramètres suivants n'apparaissent pas dans la console et ne sont pas pris en charge :

      • Processor features (Caractéristiques du processeur)

      • Dimensionnement automatique du stockage

      • Option Password and Kerberos authentication (Mot de passe et authentification Kerberos) dans Database authentication (Authentification de base de données) (seule l'authentification par mot de passe est prise en charge)

      • Performance Insights

      • Exportations des journaux

      • Enable auto minor version upgrade (Activer la mise à niveau automatique de versions mineures)

      • Deletion protection (Protection contre la suppression)

  13. Choisissez Créer une base de données.

    Important

    Quand vous créez une instance de base de données RDS Custom for Oracle, vous pouvez recevoir l'erreur suivante : The service-linked role is in the process of being created (Le rôle lié à un service est en cours de création). Réessayez ultérieurement. Dans ce cas, attendez quelques minutes, puis réessayez de créer l'instance de base de données.

    Le bouton View credential details (Afficher les détails des informations d'identification) apparaît sur la page Databases (Bases de données).

    Pour afficher le nom d'utilisateur principal et le mot de passe pour l'instance de base de données RDS Custom, choisissez View credential details (Afficher les informations d'identification).

    Pour vous connecter à l'instance de base de données en tant qu'utilisateur principal, utilisez l'identifiant et le mot de passe affichés.

    Important

    Vous ne pouvez pas afficher le mot de passe de l'utilisateur principal de nouveau dans la console. Si vous ne l'enregistrez pas, il sera peut-être nécessaire de le modifier. Pour modifier le mot de passe de l'utilisateur principal une fois que l'instance de base de données RDS Custom est disponible, connectez-vous à la base de données et exécutez une commande ALTER USER. Vous ne pouvez pas réinitialiser le mot de passe à l'aide de l'option Modifier dans la console.

  14. Choisissez Databases (Bases de données) pour afficher la liste des instances de base de données RDS Custom.

  15. Choisissez l'instance de base de données RDS Custom que vous venez de créer.

    Sur la console RDS, les détails de la nouvelle instance de base de données RDS Custom s'affichent.

    • L'instance de base de données a le statut creating (création) jusqu'à ce que l'instance de base de données RDS Custom soit créée et prête à l'emploi. Lorsque l'état devient available (disponible), vous pouvez vous connecter à l'instance de base de données. En fonction du stockage et de la classe d'instance alloués, la mise à disposition de la nouvelle instance de base de données peut nécessiter plusieurs minutes.

    • Role (Rôle) a la valeur Instance (RDS Custom).

    • RDS Custom automation mode (Mode d'automatisation RDS Custom) a la valeur Full automation(Automatisation complète). Ce paramètre signifie que l'instance de base de données assure une surveillance et une récupération d'instance automatiques.

Vous créez une instance de base de données personnalisée RDS à l'aide de la create-db-instance AWS CLI commande.

Les options suivantes sont requises :

  • --db-instance-identifier

  • --db-instance-class Pour obtenir la liste des classes d'instance de base de données prises en charge, veuillez consulter Prise en charge de la classe d'instance de base de données pour RDS Custom for Oracle).

  • --engine engine-type, où engine-type se trouve custom-oracle-eecustom-oracle-se2,custom-oracle-ee-cdb, ou custom-oracle-se2-cdb

  • --engine-version cev (où cev est le nom de la version de moteur personnalisée que vous avez spécifiée dans Création d’un CEV)

  • --kms-key-id my-kms-key

  • --backup-retention-period days (où days est une valeur supérieure à 0)

  • --no-auto-minor-version-upgrade

  • --custom-iam-instance-profile AWSRDSCustomInstanceProfile-us-east-1 (où region est la Région AWS où vous créez votre instance de base de données)

L'exemple suivant créé une instance de base de données RDS personnalisée nommée my-cfo-cdb-instance. La base de données est une CDB dont le nom n'est pas celui par défaut. MYCDB Le nom PDB autre que le nom par défaut est. MYPDB La période de rétention des sauvegardes est de trois jours.

Dans Linux, macOS, ou Unix:

aws rds create-db-instance \
    --engine custom-oracle-ee-cdb \
    --db-instance-identifier my-cfo-cdb-instance \
    --engine-version 19.cdb_cev1 \
    --db-name MYPDB \
    --db-system-id MYCDB \
    --allocated-storage 250 \
    --db-instance-class db.m5.xlarge \
    --db-subnet-group mydbsubnetgroup \
    --master-username myuser \
    --master-user-password mypassword \
    --backup-retention-period 3 \
    --port 8200 \
    --kms-key-id my-kms-key \
    --no-auto-minor-version-upgrade \
    --custom-iam-instance-profile AWSRDSCustomInstanceProfile-us-east-1

Dans Windows:

aws rds create-db-instance ^
    --engine custom-oracle-ee-cdb ^
    --db-instance-identifier my-cfo-cdb-instance ^
    --engine-version 19.cdb_cev1 ^
    --db-name MYPDB ^
    --db-system-id MYCDB ^
    --allocated-storage 250 ^
    --db-instance-class db.m5.xlarge ^
    --db-subnet-group mydbsubnetgroup ^
    --master-username myuser ^
    --master-user-password mypassword ^
    --backup-retention-period 3 ^
    --port 8200 ^
    --kms-key-id my-kms-key ^
    --no-auto-minor-version-upgrade ^
    --custom-iam-instance-profile AWSRDSCustomInstanceProfile-us-east-1
Note

Spécifiez un mot de passe autre que celui indiqué ici, en tant que bonne pratique de sécurité.

Obtenez des détails sur votre instance en utilisant la commande describe-db-instances.

aws rds describe-db-instances --db-instance-identifier my-cfo-cdb-instance

La sortie partielle suivante affiche le moteur, les groupes de paramètres et d'autres informations.

        {   
            "DBInstanceIdentifier": "my-cfo-cdb-instance",
            "DBInstanceClass": "db.m5.xlarge",
            "Engine": "custom-oracle-ee-cdb",
            "DBInstanceStatus": "available",
            "MasterUsername": "admin",
            "DBName": "MYPDB",
            "DBSystemID": "MYCDB",
            "Endpoint": {
                "Address": "my-cfo-cdb-instance.abcdefghijkl.us-east-1.rds.amazonaws.com",
                "Port": 1521,
                "HostedZoneId": "A1B2CDEFGH34IJ"
            },
            "AllocatedStorage": 100,
            "InstanceCreateTime": "2023-04-12T18:52:16.353000+00:00",
            "PreferredBackupWindow": "08:46-09:16",
            "BackupRetentionPeriod": 7,
            "DBSecurityGroups": [],
            "VpcSecurityGroups": [
                {
                    "VpcSecurityGroupId": "sg-0a1bcd2e",
                    "Status": "active"
                }
            ],
            "DBParameterGroups": [
                {
                    "DBParameterGroupName": "default.custom-oracle-ee-cdb-19",
                    "ParameterApplyStatus": "in-sync"
                }
            ],
...

Considérations relatives à l'architecture multilocataire

Si vous créez une instance de base de données Amazon RDS Custom pour Oracle avec l'architecture mutualisée Oracle (custom-oracle-ee-cdbou le type de custom-oracle-se2-cdb moteur), votre base de données est une base de données de conteneurs (CDB). Si vous ne spécifiez pas l'architecture mutualisée Oracle, votre base de données est une base de données non CDB traditionnelle qui utilise le type de moteur custom-oracle-ee orcustom-oracle-se2. Une base de données non CDB ne peut pas contenir de bases de données enfichables (). PDBs Pour de plus amples informations, veuillez consulter Architecture de base de données pour Amazon RDS Custom for Oracle.

Lorsque vous créez une instance de CDB RDS Custom for Oracle, tenez compte des points suivants :

  • Vous pouvez créer une base de données multilocataire uniquement à partir d'une version CEV Oracle Database 19c.

  • Vous ne pouvez créer une instance CDB que si le CEV utilise le type de custom-oracle-se2-cdb moteur custom-oracle-ee-cdb or.

  • Si vous créez une instance CDB à l'aide de l'édition Standard 2, la CDB peut en contenir un maximum de 3. PDBs

  • Par défaut, votre CDB est nommée RDSCDB, qui est également le nom de l'identifiant système Oracle (SID Oracle). Vous pouvez choisir un autre nom.

  • Votre CDB contient une seule PDB initiale. Le nom par défaut de la PDB est ORCL. Vous pouvez choisir un nom différent pour votre PDB initiale, mais le SID Oracle et le nom de la PDB ne peuvent pas être identiques.

  • RDS Custom for Oracle ne fournit pas APIs de PDBs. Pour en créer d'autres PDBs, utilisez la commande Oracle SQLCREATE PLUGGABLE DATABASE. RDS Custom for Oracle ne limite pas le nombre de produits PDBs que vous pouvez créer. En général, vous êtes responsable de la création et de la gestion PDBs, comme dans le cas d'un déploiement sur site.

  • Vous ne pouvez pas utiliser RDS APIs pour créer, modifier ou supprimer PDBs : vous devez utiliser les instructions Oracle SQL. Lorsque vous créez un PDB à l'aide d'Oracle SQL, nous vous recommandons de prendre un instantané manuel par la suite au cas où vous auriez besoin d'effectuer une point-in-time restauration (PITR).

  • Vous ne pouvez pas renommer un fichier existant à PDBs l'aide d'Amazon APIs RDS. Vous ne pouvez pas non plus renommer la CDB à l'aide de la commande modify-db-instance.

  • Le mode ouvert pour la racine CDB est READ WRITE sur la base de données principale et MOUNTED sur une base de données de secours montée. RDS Custom for Oracle tente de tout ouvrir PDBs lors de l'ouverture du CDB. Si RDS Custom for Oracle ne peut pas tout ouvrir PDBs, il émet l'événementtenant database shutdown.

Rôle lié à un service RDS Custom

Un rôle lié à un service permet à Amazon RDS Custom d'accéder aux ressources de votre. Compte AWS RDS Custom est ainsi simplifié, étant donné que vous n'avez pas besoin d'ajouter manuellement les autorisations requises. RDS Custom définit les autorisations de ses rôles liés à un service ; sauf définition contraire, seul RDS Custom peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Lorsque vous créez une instance de base de données RDS Custom, les rôles liés au service Amazon RDS et RDS Custom sont créés (s'ils n'existent pas déjà) et utilisés. Pour de plus amples informations, veuillez consulter .

La première fois que vous créez une instance de base de données RDS Custom for Oracle, vous pouvez recevoir l'erreur suivante :The service-linked role is in the process of being created. (Le rôle lié à un service est en cours de création.) Réessayez ultérieurement. Dans ce cas, attendez quelques minutes, puis réessayez de créer l'instance de base de données.

Installation de composants logiciels supplémentaires sur votre instance de base de données RDS Custom for Oracle

Dans une instance de base de données nouvellement créée, votre environnement de base de données inclut des fichiers binaires Oracle, une base de données et un écouteur de base de données. Vous souhaiterez peut-être installer des logiciels supplémentaires sur le système d'exploitation hôte de l'instance de base de données. Par exemple, vous souhaiterez peut-être installer Oracle Application Express (APEX), l'agent Oracle Enterprise Manager (OEM) ou l'agent Guardium S-TAP. Pour obtenir des directives et des instructions de haut niveau, consultez le billet de AWS blog détaillé Installer des composants logiciels supplémentaires sur Amazon RDS Custom for Oracle.

Connexion à votre instance de base de données RDS Custom à l'aide de SSH

Le protocole SSH (Secure Shell Protocol) est un protocole réseau qui prend en charge les communications chiffrées sur un réseau non sécurisé. Après avoir créé votre instance de base de données RDS Custom, vous pouvez vous y connecter à l'aide d'un client SSH. Pour plus d'informations, consultez Connexion à votre instance Linux à l'aide de SSH.

Votre technique de connexion SSH dépend du caractère privé ou non de votre instance de base de données, ce qui signifie qu'elle n'accepte pas les connexions depuis l'Internet public. Dans ce cas, vous devez utiliser le tunneling SSH pour connecter l'utilitaire SSH à votre instance. Cette technique transporte les données via un flux de données dédié (tunnel) au sein d'une session SSH existante. Vous pouvez configurer le tunneling SSH à l'aide d' AWS Systems Manager.

Note

Différentes stratégies sont prises en charge pour accéder aux instances privées. Pour savoir comment connecter un client SSH à des instances privées à l'aide d'hôtes Bastion, consultez Hôtes bastion Linux sur AWS. Pour savoir comment configurer le réacheminement de port, consultez Réacheminement de port à l'aide d' AWS Systems Manager Session Manager (langue française non garantie).

Si votre instance de base de données se trouve dans un sous-réseau public et que le paramètre est accessible au public, aucun tunneling SSH n'est requis. Vous pouvez vous connecter via SSH comme vous le feriez avec une EC2 instance Amazon publique.

Pour connecter un client SSH à votre instance de base de données, procédez comme suit :

  1. Étape 1 : Configurer votre instance de base de données pour autoriser les connexions SSH

  2. Étape 2 : récupérer votre clé secrète SSH et votre identifiant d' EC2 instance

  3. Étape 3 : Connectez-vous à votre EC2 instance à l'aide de l'utilitaire ssh

Étape 1 : Configurer votre instance de base de données pour autoriser les connexions SSH

Pour vérifier que votre instance de base de données accepte les connexions SSH, procédez comme suit :

  • Assurez-vous que le groupe de sécurité de votre instance de base de données autorise les connexions entrantes sur le port 22 pour TCP.

    Pour apprendre à configurer le groupe de sécurité de votre instance de base de données, consultez Contrôle d'accès par groupe de sécurité.

  • Si vous ne prévoyez pas d'utiliser le tunneling SSH, assurez-vous que votre instance de base de données réside dans un sous-réseau public et qu'elle est accessible au public.

    Dans la console, le champ correspondant est Accessible publiquement dans l'onglet Connectivité et sécurité de la page de détails de la base de données. Pour vérifier vos paramètres dans l'interface de ligne de commande, exécutez la commande suivante :

    aws rds describe-db-instances \
--query 'DBInstances[*].{DBInstanceIdentifier:DBInstanceIdentifier,PubliclyAccessible:PubliclyAccessible}' \
--output table

    Pour modifier les paramètres d'accessibilité de votre instance de base de données, consultez Modification d'une RDS instance de base de données Amazon.

Étape 2 : récupérer votre clé secrète SSH et votre identifiant d' EC2 instance

Pour vous connecter à l'instance de base de données avec SSH, vous devez disposer de la paire de clés SSH associée à l'instance. RDS Custom crée la paire de clés SSH en votre nom, en utilisant la convention do-not-delete-rds-custom-ssh-privatekey-resource_id-uuid de dénomination ou. rds-custom!oracle-do-not-delete-resource_id-uuid-ssh-privatekey AWS Secrets Manager stocke votre clé privée SSH en tant que secret.

Récupérez votre clé secrète SSH en utilisant l'un AWS Management Console ou l'autre des AWS CLI. Si votre instance possède un DNS public et que vous n'avez pas l'intention d'utiliser le tunneling SSH, récupérez également le nom DNS. Vous spécifiez le nom DNS pour les connexions publiques.

Pour récupérer la clé secrète SSH

  1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à https://console.aws.amazon.com/rds/l'adresse.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données), puis l'instance de base de données RDS Custom que vous voulez arrêter.

  3. Choisissez Configuration.

  4. Notez la valeur Resource ID (ID de ressource). Par exemple, l'ID de la ressource de l'instance de base de données peut être db-ABCDEFGHIJKLMNOPQRS0123456.

  5. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  6. Dans le panneau de navigation, choisissez Instances.

  7. Trouvez le nom de votre EC2 instance et choisissez l'ID d'instance qui lui est associé. Par exemple, l'ID d' EC2 instance peut êtrei-abcdefghijklm01234.

  8. Dans Details (Détails), cherchez Key pair name (Nom de la paire de clés). Le nom de la paire inclut l'ID de ressource de l'instance de base de données. Par exemple, le nom de la paire peut être do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c ourds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey.

  9. Si votre EC2 instance est publique, notez le IPv4DNS public. Par exemple, l'adresse DNS (Domain Name System) publique peut être ec2-12-345-678-901.us-east-2.compute.amazonaws.com.

  10. Ouvrez la AWS Secrets Manager console à l'adresse https://console.aws.amazon.com/secretsmanager/.

  11. Choisissez le secret portant le même nom que votre paire de clés.

  12. Choisissez Retrieve secret value (Récupérer la valeur d'un secret).

  13. Copiez la clé privée SSH dans un fichier texte, puis enregistrez le fichier avec l'extension .pem. Par exemple, enregistrez le fichier sous le nom /tmp/do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c.pem ou/tmp/rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey.pem.

Pour récupérer la clé privée SSH et l'enregistrer dans un fichier .pem, vous pouvez utiliser l' AWS CLI.

  1. Trouvez l'ID de ressource de base de données de votre instance de base de données RDS Custom avec aws rds describe-db-instances.

    aws rds describe-db-instances \
    --query 'DBInstances[*].[DBInstanceIdentifier,DbiResourceId]' \
    --output text

    L'exemple de sortie suivant montre l'ID de ressource de votre instance RDS Custom. Le préfixe est db-.

    db-ABCDEFGHIJKLMNOPQRS0123456

  2. Trouvez l'ID d' EC2 instance de votre instance de base de données à l'aide deaws ec2 describe-instances. L'exemple suivant utilise db-ABCDEFGHIJKLMNOPQRS0123456 pour l'ID de la ressource

    aws ec2 describe-instances \
    --filters "Name=tag:Name,Values=db-ABCDEFGHIJKLMNOPQRS0123456" \
    --output text \
    --query 'Reservations[*].Instances[*].InstanceId'

    L'exemple de sortie suivant montre l'ID de l' EC2 instance.

    i-abcdefghijklm01234

  3. Pour trouver le nom de la clé, spécifiez l'ID de l' EC2 instance. L'exemple suivant décrit l' EC2 instancei-0bdc4219e66944afa.

    aws ec2 describe-instances \
    --instance-ids i-0bdc4219e66944afa \
    --output text \
    --query 'Reservations[*].Instances[*].KeyName'

    L'exemple de sortie suivant montre le nom de la clé, qui utilise le format de dénomination do-not-delete-rds-custom-ssh-privatekey-resource_id-uuid ourds-custom!oracle-do-not-delete-resource_id-uuid-ssh-privatekey.

    do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c
rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey

  4. Enregistrez la clé privée dans un fichier .pem nommé d'après la clé avec aws secretsmanager.

    L'exemple suivant enregistre la clé do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c dans un fichier de votre /tmp répertoire.

    aws secretsmanager get-secret-value \
    --secret-id do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c \
    --query SecretString \
    --output text >/tmp/do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c.pem

    L'exemple suivant enregistre la clé rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey dans un fichier de votre /tmp répertoire.

    aws secretsmanager get-secret-value \
    --secret-id rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey \
    --query SecretString \
    --output text >/tmp/rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey.pem

Étape 3 : Connectez-vous à votre EC2 instance à l'aide de l'utilitaire ssh

Votre technique de connexion varie selon que vous vous connectez à une instance de base de données privée ou à une instance publique. Pour établir une connexion privée, vous devez configurer le tunneling SSH via AWS Systems Manager.

Pour vous connecter à une EC2 instance à l'aide de l'utilitaire ssh

  1. Pour les connexions privées, modifiez votre fichier de configuration SSH pour obtenir des commandes proxy vers AWS Systems Manager Session Manager. Pour les connexions publiques, passez à l'étape 2.

    Ajoutez les lignes suivantes à ~/.ssh/config. Ces lignes fournissent des commandes SSH proxy pour les hôtes dont le nom commence par i- ou mi-.

    Host i-* mi-*
    ProxyCommand sh -c "aws ssm start-session --target %h --document-name AWS-StartSSHSession --parameters 'portNumber=%p'"

  2. Accédez au répertoire qui contient votre fichier .pem. Avec chmod, définissez les autorisations sur 400.

    L'exemple suivant modifie le /tmp répertoire et définit les autorisations pour le fichier .pem. do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c.pem

    cd /tmp
chmod 400 do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c.pem

    L'exemple suivant modifie le /tmp répertoire et définit les autorisations pour le fichier .pem. rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey.pem

    cd /tmp
chmod 400 rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey.pem

  3. Exécutez l'utilitaire ssh en spécifiant le fichier .pem et le nom DNS public (pour les connexions publiques) ou l'ID de l' EC2 instance (pour les connexions privées). Connectez-vous en tant qu'utilisateur ec2-user.

    L'exemple suivant permet de se connecter à une instance publique à l'aide du nom DNSec2-12-345-678-901.us-east-2.compute.amazonaws.com.

    # .pem file using naming prefix do-not-delete
ssh -i \
  "do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c.pem" \
  [email protected]

# .pem file using naming prefix rds-custom!oracle-do-not-delete
ssh -i \
  "rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey.pem" \
  [email protected]

    L'exemple suivant établit une connexion à une instance privée à l'aide de l'ID d' EC2 instancei-0bdc4219e66944afa.

    # .pem file using naming prefix do-not-delete
ssh -i \
  "do-not-delete-rds-custom-ssh-privatekey-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c.pem" \
  ec2-user@i-0bdc4219e66944afa

# .pem file using naming prefix rds-custom!oracle-do-not-delete
ssh -i \
  "rds-custom!oracle-do-not-delete-db-ABCDEFGHIJKLMNOPQRS0123456-0d726c-ssh-privatekey.pem" \
  ec2-user@i-0bdc4219e66944afa