¿Cómo configuro un clúster de base de datos de Amazon Aurora aprovisionado para que sea de acceso público?

6 minutos de lectura
0

Tengo un clúster de base de datos de Amazon Aurora aprovisionado y quiero configurarlo para que sea de acceso público. Además, quiero proteger mi clúster de base de datos de Aurora de las conexiones externas. ¿Cómo puedo hacerlo?

Descripción breve

Para conectarse a un clúster de base de datos de Aurora desde fuera de Amazon Virtual Private Cloud (Amazon VPC), las instancias del clúster deben cumplir los siguientes requisitos:

  • La instancia de base de datos tiene una dirección IP pública.
  • La instancia de base de datos se ejecuta en una subred de acceso público.

Además de configurar la instancia de base de datos para que se conecte desde fuera de una VPC, puede proteger las conexiones con seguridad de la capa de transporte (TLS).

Resolución

Establecer la configuración de acceso público de la instancia de base de datos en Sí

La configuración de acceso público de una instancia de base de datos de Amazon Relational Database Service (Amazon RDS) controla la asignación de una dirección IP pública a la instancia de base de datos.

  • Si se establece en No, la instancia de base de datos no tiene una dirección IP pública.
  • Si se establece en , la instancia de base de datos tiene direcciones IP públicas y privadas.

Para cambiar la configuración de acceso público de la instancia de base de datos a , siga estos pasos:

  1. Abra la consola de Amazon RDS.
  2. Elija Bases de datos en el panel de navegación y, a continuación, elija la instancia de base de datos.
  3. Seleccione Modificar.
  4. En Conectividad, amplíe la sección Configuración adicional y, a continuación, seleccione Acceso público.
  5. Seleccione Continuar.
  6. Elija Modificar instancia de base de datos

Nota: No es necesario que elija Aplicar inmediatamente. Para obtener más información sobre cómo puede afectar Aplicar inmediatamente al tiempo de inactividad, consulte Uso de la configuración de aplicación inmediata.

Ejecutar una instancia de base de datos en una subred pública

Una subred pública es una subred que está asociada a una tabla de enrutamiento que tiene una ruta a la puerta de enlace de Internet, que suele ser la ruta predeterminada, 0.0.0.0/0. Esta ruta activa las instancias de base de datos de una subred para comunicarse con recursos fuera de la VPC.

Para las instancias de base de datos de Aurora, no puede elegir una subred específica. Como alternativa, elija un grupo de subredes de base de datos al crear la instancia.

Un grupo de subredes de base de datos es un conjunto de subredes que pertenecen a una VPC. Cuando crea el host subyacente, Amazon RDS elige aleatoriamente una subred del grupo de subredes de base de datos. Por lo general, una VPC tiene subredes públicas y privadas. Si el grupo de subredes de base de datos contiene subredes públicas y privadas, inicie el host subyacente en una subred pública o privada. No puede conectarse a la instancia de base de datos desde fuera de la VPC si el host subyacente se lanza en una subred privada.

En su lugar, cree un grupo de subredes de base de datos con subredes de configuración de red similar. Por ejemplo, cree un grupo de subredes de base de datos para subredes públicas y un segundo grupo de subredes de base de datos para subredes privadas. Para obtener más información, consulte Uso de una instancia de base de datos en un grupo de subredes.

Siga estos pasos para asegurarse de que la subred utilizada por la instancia de base de datos tenga acceso a Internet:

  1. Compruebe que su VPC tenga una puerta de enlace de Internet conectada.
  2. Compruebe que todas las subredes del grupo de subredes de base de datos utilicen una tabla de enrutamiento con una puerta de enlace de Internet.
    • Si la subred usa la tabla de enrutamiento principal de la VPC, añada la ruta para la puerta de enlace de Internet (el destino es 0.0.0.0/0).
    • Si es necesario, cree una tabla de enrutamiento personalizada con la ruta a la puerta de enlace de Internet y asóciela a la subred.
  3. Añada la dirección IP pública de origen desde la que desea conectarse a la instancia de base de datos en las reglas de entrada del grupo de seguridad.
  4. Para el Tipo de regla, elija MySQL/Aurora o PostgreSQL, según el tipo de motor.
  5. En Fuente, introduzca el rango de CIDR manualmente o elija Mi IP para conectarse a la instancia de base de datos desde la misma estación de trabajo.

Proteger el clúster de base de datos de las conexiones externas a la VPC

Puede usar TLS para cifrar las conexiones que provienen de fuera de una VPC porque la transferencia de datos se produce a través de Internet. Para confirmar que utiliza el nivel más alto de seguridad, utilice el parámetro ssl-ca para pasar el certificado de CA y, a continuación, active la validación del nombre de host. Utilice los siguientes comandos de ejemplo para las conexiones TLS, según la versión de Aurora que utilice.

Edición 5.6 y versiones posteriores compatibles con MySQL de Amazon Aurora:

mysql -h test-aurora-56.cluster-xxxxxxxxxxxx.us-east-1.rds.amazonaws.com -u master_user --ssl-ca=rds-combined-ca-bundle.pem --ssl-verify-server-cert

Compatible con MySQL 5.7 y versiones posteriores de Aurora:

mysql -h test-aurora-57.cluster-xxxxxxxxxxxx.us-east-1.rds.amazonaws.com -u master_user --ssl-ca=rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY

Edición compatible con PostgreSQL de Amazon Aurora:

psql -h test-aurora-pg.cluster-xxxxxxxxxxxx.us-east-1.rds.amazonaws.com -p 5432 "dbname=postgres user=master_user sslrootcert=rds-combined-ca-bundle.pem sslmode=verify-full"

Nota: También puede aplicar TLS a los clústeres de bases de datos. Para Aurora MySQL, debe aplicar TLS a los usuarios de la base de datos. Para que sea compatible con Aurora PostgreSQL, defina el parámetro rds.force_ssl como 1.


Información relacionada

Uso de SSL/TLS con clústeres de base de datos de Aurora MySQL

Protección de los datos de Aurora PostgreSQL con SSL/TLS

¿Cómo puedo conectarme a mi instancia de base de datos de Amazon RDS mediante un host bastión desde mi máquina Linux o macOS?

¿Cómo puedo configurar los puntos de conexión de Aurora públicos y privados en la consola de Amazon RDS?

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años