AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Come posso configurare un cluster di database Amazon Aurora con provisioning in modo che sia accessibile al pubblico?
Desidero configurare il mio cluster di database Amazon Aurora su cui è stato effettuato il provisioning in modo che sia accessibile al pubblico e proteggere il mio cluster di database Aurora da connessioni esterne.
Breve descrizione
Per rendere il cluster di database Aurora accessibile al pubblico, le istanze del cluster devono avere un indirizzo IP pubblico ed essere eseguite in una sottorete pubblica.
Per un'istanza database Aurora, non puoi scegliere una sottorete specifica. Devi invece scegliere un gruppo di sottoreti del database quando crei l'istanza. Assicurati di creare un gruppo di sottoreti del database con configurazioni di rete simili. Ad esempio, crea un gruppo di sottoreti del database per le sottoreti pubbliche e un altro per le sottoreti private.
Dopo aver configurato l'istanza database per consentire le connessioni dall'esterno del VPC, puoi utilizzare TLS per proteggerle.
Nota: per questioni di sicurezza, è consigliabile non consentire connessioni dall'esterno del VPC a meno che non sia necessario avere l'accessibilità pubblica.
Risoluzione
Imposta l'opzione Accessibile pubblicamente per l'istanza database su Sì
L'opzione Accessibile pubblicamente per un'istanza database Amazon Relational Database Service (Amazon RDS) controlla l'assegnazione di un indirizzo IP pubblico all'istanza database. Quando imposti l'opzione su No, l'istanza database non ha un indirizzo IP pubblico. Quando imposti l'opzione su Sì, l'istanza database ha indirizzi IP pubblici e privati.
Per modificare l'opzione Accessibile pubblicamente dell'istanza database su Sì, completa i seguenti passaggi:
- Apri la console Amazon RDS.
- Scegli Database dal pannello di navigazione, quindi seleziona l'istanza database.
- Scegli Modifica.
- Nella sezione Connettività, scegli Configurazione aggiuntiva, quindi seleziona Accessibile pubblicamente.
- Scegli Continua.
- Nella sezione Pianificazione delle modifiche scegli l'opzione più adatta al caso d'uso.
Nota: L'opzione Applica immediatamente può causare tempi di inattività. Per ulteriori informazioni, consulta Utilizzo dell'impostazione Pianificazione delle modifiche. - Scegli Modifica istanza database.
Esegui l'istanza database in una sottorete pubblica
Per assicurarti che la sottorete dell'istanza database abbia accesso a Internet, completa i seguenti passaggi:
- Crea un gateway Internet e collegalo al VPC.
- Nel pannello di navigazione scegli Sottoreti.
- Verifica che tutte le sottoreti del gruppo di sottoreti del database utilizzino una tabella di routing con il gateway Internet.
- Se la sottorete utilizza la tabella di routing principale del VPC, aggiungi la route 0.0.0.0/0 per il gateway Internet. Puoi anche creare una tabella di routing personalizzata con una route verso il gateway Internet e associare la tabella di routing alla sottorete.
- Per aggiungere l'indirizzo IP pubblico di origine da cui desideri connetterti all'istanza database, configura le regole del gruppo di sicurezza in entrata.
Per Tipo, scegli MySQL/Aurora o PostgreSQL.
Per Origine, scegli Personalizzato e inserisci manualmente l'intervallo CIDR. Oppure scegli Il mio IP per connetterti all'istanza database dalla stessa workstation.
Proteggi il cluster di database dalle connessioni esterne al VPC
Utilizza TLS per crittografare le connessioni esterne a un VPC perché il trasferimento dei dati avviene tramite Internet. Per verificare se stai utilizzando il massimo livello di sicurezza, passa il certificato dell'autorità di certificazione (CA) con il parametro ssl-ca e attiva la convalida del nome host.
Per testare la connessione TLS, esegui questo comando in base alla versione di Aurora utilizzata.
Amazon Aurora compatibile con MySQL versione 5.6
mysql -h test-aurora-56.cluster-############.us-east-1.rds.amazonaws.com -u test_user --ssl-ca=rds-combined-ca-bundle.pem --ssl-verify-server-cert
Nota: sostituisci test-aurora-56.cluster-############.us-east-1.rds.amazonaws.com con l'endpoint del tuo cluster. Sostituisci test_user con il tuo nome utente. Sostituisci rds-combined-ca-bundle.pem con il percorso della tua CA.
Amazon Aurora compatibile con MySQL versione 5.7 e successive
mysql -h test-aurora-57.cluster-############.us-east-1.rds.amazonaws.com -u test_user --ssl-ca=rds-combined-ca-bundle.pem --ssl-mode=VERIFY_IDENTITY
Nota: sostituisci test-aurora-57.cluster-############.us-east-1.rds.amazonaws.com con l'endpoint del tuo cluster. Sostituisci test_user con il tuo nome utente. Sostituisci rds-combined-ca-bundle.pem con il percorso della tua CA.
Amazon Aurora compatibile con PostgreSQL
psql -h test-aurora-pg.cluster-############.us-east-1.rds.amazonaws.com -p 5432 "dbname=postgres user=test_user sslrootcert=rds-combined-ca-bundle.pem sslmode=verify-full"
Nota: sostituisci test-aurora-pg.cluster-############.us-east-1.rds.amazonaws.com con l'endpoint del tuo cluster. Sostituisci 5432 con la porta del tuo cluster. Sostituisci postgres con il nome utente del tuo database. Sostituisci test_user con il tuo nome utente. Sostituisci rds-combined-ca-bundle.pem con il percorso della tua CA.
Puoi anche applicare TLS per i cluster di database. Per Aurora compatibile con MySQL, imposta TLS a livello di utente del database. Per Aurora compatibile con PostgreSQL, imposta il parametro rds.force_ssl su 1.
Informazioni correlate
Utilizzo di SSL/TLS per crittografare una connessione a un'istanza database
Sicurezza dei dati Aurora PostgreSQL con SSL/TLS
Come posso configurare gli endpoint Aurora privati e pubblici nella console Amazon RDS?
- Argomenti
- Database
- Lingua
- Italiano
