Registrati per un Account AWS Crea un utente con accesso amministrativo Concessione dell'accesso programmatico Determinazione dei requisiti Fornisci l’accesso alla tua istanza database

Configurazione dell'ambiente Amazon RDS

Questa pagina fornisce una guida completa per la configurazione di Amazon Relational Database Service, inclusa la configurazione dell'account, la sicurezza e la gestione delle risorse. Ti guida attraverso i passaggi essenziali per creare, gestire e proteggere i tuoi ambienti di database in modo efficiente. Che tu sia alle prime armi con Amazon RDS o che stia effettuando la configurazione per requisiti specifici, queste sezioni aiutano a garantire che la configurazione sia ottimizzata e conforme alle best practice.

Argomenti

Registrati per un Account AWS
Crea un utente con accesso amministrativo
Concessione dell'accesso programmatico
Determinazione dei requisiti
Fornisci accesso alla istanza database nel VPC creando un gruppo di sicurezza

Se ne possiedi già uno Account AWS, conosci i requisiti di Amazon RDS e preferisci utilizzare le impostazioni predefinite per i gruppi di sicurezza IAM e VPC, passa subito a. Nozioni di base su Amazon RDS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

Apri la https://portal.aws.amazon.com/billing/registrazione.
Segui le istruzioni online.

Parte della procedura di registrazione prevede la ricezione di una telefonata o di un messaggio di testo e l'immissione di un codice di verifica sulla tastiera del telefono.

Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWS nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a https://aws.amazon.com/e scegliendo Il mio account.

Crea un utente con accesso amministrativo

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .
Abilita l'autenticazione a più fattori (MFA) per l'utente root.

Per istruzioni, consulta Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console) nella Guida per l'utente IAM.

Crea un utente con accesso amministrativo

Abilita Centro identità IAM.

Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .
In IAM Identity Center, assegna l'accesso amministrativo a un utente.

Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accesso come utente amministratore

Per accedere con l'utente IAM Identity Center, utilizza l'URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta AWS Accedere al portale di accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso a ulteriori utenti

In IAM Identity Center, crea un set di autorizzazioni conforme alla best practice dell'applicazione di autorizzazioni con il privilegio minimo.

Segui le istruzioni riportate nella pagina Creazione di un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .
Assegna al gruppo prima gli utenti e poi l'accesso con autenticazione unica (Single Sign-On).

Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente di AWS IAM Identity Center .

Concessione dell'accesso programmatico

Gli utenti hanno bisogno di un accesso programmatico se vogliono interagire con l' AWS AWS Management Console esterno di. Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti nel centro identità IAM)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento AWS SDKs and Tools.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'utente IAM.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali utente IAM nella Guida per l'utente.AWS Command Line Interface Per gli strumenti AWS SDKs e gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta la sezione Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente IAM.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti nel centro identità IAM)

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento AWS SDKs and Tools.

IAM

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'utente IAM.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Autenticazione tramite credenziali utente IAM nella Guida per l'utente.AWS Command Line Interface
Per gli strumenti AWS SDKs e gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti.
Per AWS APIs, consulta la sezione Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente IAM.

Determinazione dei requisiti

L'istanza database rappresenta l'elemento di base di Amazon RDS. In un'istanza database, puoi creare i database. Un'istanza database fornisce un indirizzo di rete che si chiama un endpoint. Le applicazioni utilizzano questo endpoint per connettersi all'istanza database. Quando crei un'istanza database, specifichi dettagli come storage, memoria, motore di database e versione, configurazione di rete, sicurezza e periodi di manutenzione. Controlli l'accesso alla rete a un'istanza database tramite un gruppo di sicurezza.

Prima di creare un'istanza database e un gruppo di sicurezza, devi conoscere le necessità dell'istanza database e della rete. Ecco alcune cose importanti da considerare:

Requisiti delle risorse – Quali sono i requisiti di memoria e del processore per l'applicazione o il servizio? Utilizzi queste impostazioni per aiutare a determinare quale classe di istanza database da utilizzare. Per specifiche sulle classi di istanza database, consulta Classi di istanze DB .
VPC, sottorete e gruppo di sicurezza– L'istanza database si trova molto probabilmente in un Virtual Private Cloud (VPC). Per connetterti all'istanza database, devi configurare le regole del gruppo di sicurezza. Queste regole sono configurate in maniera diversa in base a quale tipo di VPC utilizzi e come lo utilizzi. Ad esempio, puoi usare un VPC predefinito o un VPC definito dall'utente.

L'elenco seguente descrive le regole per ogni opzione VPC:
- VPC predefinito: se il tuo AWS account ha un VPC predefinito nella regione corrente AWS , quel VPC è configurato per supportare le istanze DB. Se specifichi il VPC predefinito quando crei l'istanza database, esegui quanto segue:
  - Assicurati di creare un gruppo di sicurezza VPC che autorizzi le connessioni dall'applicazione o dal servizio all’istanza database Amazon RDS. Utilizza l'opzione Security Group sulla console VPC o AWS CLI per creare gruppi di sicurezza VPC. Per informazioni, consulta Fase 3: creazione di un gruppo di sicurezza VPC.
  - Specifica il gruppo di sottoreti del database predefinito. Se questa è la prima istanza DB creata in questa AWS regione, Amazon RDS crea il gruppo di sottoreti DB predefinito quando crea l'istanza DB.
- VPC definito dall'utente – Se desideri specificare un VPC definito dall'utente quando crei un'istanza database, tieni presente quanto segue:
  - Assicurati di creare un gruppo di sicurezza VPC che autorizzi le connessioni dall'applicazione o dal servizio all’istanza database Amazon RDS. Utilizza l'opzione Security Group sulla console VPC o AWS CLI per creare gruppi di sicurezza VPC. Per informazioni, consulta Fase 3: creazione di un gruppo di sicurezza VPC.
  - Il VPC deve soddisfare certi requisiti per ospitare istanze database, come avere almeno due sottoreti, ognuna in una zona di disponibilità separata. Per informazioni, consulta Amazon VPC e Amazon RDS Amazon.
  - Assicurati di specificare un gruppo di sottoreti del database che definisce quali sottoreti in quel VPC possono essere utilizzate dall'istanza database. Per informazioni, consulta la sezione del gruppo di sottoreti del database in Uso di un'istanza database in un VPC.
Elevata disponibilità: hai bisogno di supporto per il failover? Su Amazon RDS, un'implementazione Multi-AZ crea un'istanza database primaria e un'istanza database secondaria in standby in un'altra zona di disponibilità per il supporto per il failover. Consigliamo implementazioni Multi-AZ per carichi di lavoro di produzione per mantenere alta disponibilità. Per scopi di sviluppo e di test, puoi utilizzare un'implementazione che non è Multi-AZ. Per ulteriori informazioni, consulta Configurazione e gestione di una distribuzione Multi-AZ per Amazon RDS.
Policy IAM: il tuo AWS account dispone di politiche che concedono le autorizzazioni necessarie per eseguire le operazioni di Amazon RDS? Se ti connetti AWS tramite credenziali IAM, il tuo account IAM deve disporre di policy IAM che concedano le autorizzazioni necessarie per eseguire le operazioni di Amazon RDS. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon RDS.
Porte aperte: su quale TCP/IP porta è in ascolto il database? I firewall in alcune aziende possono bloccare le connessioni alla porta predefinita del motore di database. Se il firewall dell'azienda blocca la porta predefinita, seleziona un'altra porta per la nuova istanza database. Quando si crea un'istanza database che ascolta su una porta che specifichi, puoi cambiare la porta modificando l'istanza database.
AWS Regione: in quale AWS regione vuoi inserire il tuo database? Avere il database in prossimità ravvicinata all'applicazione o servizio web può ridurre la latenza di rete. Per ulteriori informazioni, consulta Regioni, zone di disponibilità e Local Zones.
Sottosistema di dischi dei database: quali sono i requisiti di archiviazione? Amazon RDS fornisce tre tipi di archiviazione:
- General Purpose (SSD)
- Provisioned IOPS (PIOPS)
- Magnetico (noto anche come memoria standard)
Per ulteriori informazioni sullo storage Amazon RDS, consulta Storage delle istanze di database Amazon RDS.

Quando disponi delle informazioni, devi creare un gruppo di sicurezza e istanza database, continua alla fase successiva.

Fornisci accesso alla istanza database nel VPC creando un gruppo di sicurezza

I gruppi di sicurezza VPC forniscono l'accesso alle istanze database in un VPC. Fungono da firewall per l'istanza database associata, controllando sia il traffico in entrata che in uscita a livello di istanza database. Le istanze database vengono create come impostazione predefinita con un firewall e un gruppo di sicurezza predefinito che protegge l'istanza database.

Prima di connetterti a un'istanza database, devi aggiungere regole al gruppo di sicurezza che consentono di connettersi. Utilizza le informazione di rete e di configurazione per creare regole per permettere l'accesso all'istanza database.

Supponiamo, ad esempio, di avere un'applicazione che accede a un database nell'istanza database in un VPC. In questo caso, devi aggiungere una regola TCP personalizzata che specifichi l'intervallo di porte e gli indirizzi IP che l'applicazione utilizza per accedere al database. Se hai un'applicazione su un' EC2 istanza Amazon, puoi utilizzare il gruppo di sicurezza che hai configurato per l' EC2 istanza Amazon.

Puoi configurare la connettività tra un' EC2 istanza Amazon e un'istanza DB quando crei l'istanza DB. Per ulteriori informazioni, consulta Configura la connettività di rete automatica con un'istanza EC2 .

Suggerimento

Puoi configurare automaticamente la connettività di rete tra un' EC2 istanza Amazon e un'istanza DB quando crei l'istanza DB. Per ulteriori informazioni, consulta Configura la connettività di rete automatica con un'istanza EC2 .

Per informazioni su come connettere le risorse in Amazon Lightsail alle tue istanze DB, consulta Connetti le risorse Lightsail all'utilizzo del peering VPC. Servizi AWS

Per informazioni sugli scenari comuni per l'accesso a un'istanza database, consult Scenari per l'accesso a un di istanze DB in un VPC.

Per creare un gruppo di sicurezza VPC

Accedi AWS Management Console e apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com /vpc.

Nota
Assicurati di essere nella console VPC, non nella console RDS.
Nell'angolo in alto a destra di AWS Management Console, scegli la AWS regione in cui desideri creare il gruppo di sicurezza VPC e l'istanza DB. Nell'elenco delle risorse Amazon VPC per quella regione AWS , dovresti vedere almeno un VPC e diverse sottoreti. In caso contrario, non hai un VPC predefinito in quella AWS regione.
Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
Scegliere Create Security Group (Crea gruppo di sicurezza).

Viene visualizzata la pagina Create security group (Crea gruppo di sicurezza).
In Basic details (Dettagli di base), immettere il Security group name (Nome del gruppo di sicurezza) e la Description (Descrizione). Per VPC, seleziona il VPC nel quale desideri creare l'istanza database.
Per Inbound rules (Regole in entrata), scegli Add rule (Aggiungi regola).
1. Per Type (Tipo), scegliere Custom TCP (TCP personalizzato).
2. Per Port Range (Intervallo porte), digita il valore della porta da utilizzare per l’istanza database.
3. Per Source (Origine), seleziona il nome del gruppo di sicurezza o digita l'intervallo dell'indirizzo IP (valore CIDR) da dove accedi all'istanza database. Se scegli My IP (Il mio IP), questo consente l'accesso all'istanza database dall'indirizzo IP rilevato nel browser.
Se occorre aggiungere altri indirizzi IP o intervalli di porta diversi, scegliere Add rule (Aggiungi regola) e immettere le informazioni relative alla regola.
(Facoltativo) In Outbound Rules (Regole in uscita), aggiungi regole per il traffico in uscita. Come impostazione predefinita, tutto il traffico in uscita è permesso.
Scegliere Create Security Group (Crea gruppo di sicurezza).

Puoi utilizzare il gruppo di sicurezza VPC appena creato come gruppo di sicurezza per l'istanza database al momento della creazione.

Nota

Se utilizzi un VPC predefinito, viene creato un gruppo di sottoreti predefinito che include tutte le sottoreti VPC. Quando si crea un'istanza database, è possibile selezionare il VPC predefinito e utilizzare default (predefinito) per DB Subnet Group (Gruppo di sottoreti del database).

Quando hai completato i requisiti di configurazione, puoi creare un'istanza database utilizzando i requisiti e il gruppo di sicurezza. Per farlo, segui le istruzioni in Creazione di un'istanza database Amazon RDS. Per informazioni su come iniziare con la creazione di un'istanza database che utilizzi un motore DB specifico, consulta la documentazione pertinente nella tabella seguente.

Motore di database	Documentazione
MariaDB	Creazione e connessione di un'istanza database MariaDB
Microsoft SQL Server	Creazione e connessione a un'istanza DB di Microsoft SQL Server
MySQL	Creazione e connessione a un'istanza My SQL DB
Oracle	Creazione e connessione a un'istanza database Oracle
PostgreSQL	Creazione e connessione a un'istanza DB Postgres SQL

Nota

Se non è possibile connettersi a un'istanza database dopo averla creata, consulta le informazioni sulla risoluzione dei problemi in Impossibile connettersi all'istanza database di Amazon RDS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Visualizzazione della fatturazione per le istanze DB riservate

Nozioni di base