メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

Amazon RDS のセットアップ

Amazon RDS を初めて使用する場合は、事前に以下のタスクをすべて実行してください。

AWS にサインアップする

Amazon Web Services (AWS) にサインアップすると、Amazon RDS など AWS のすべてのサービスに対して AWS アカウントが自動的にサインアップされます。料金が発生するのは、実際に使用したサービスの分のみです。

Amazon RDS は、使用したリソース分のみお支払いいただくだけで利用可能です。作成した Amazon RDS DB インスタンスはライブとなります (サンドボックスで実行されるわけではありません)。インスタンスを終了するまで、Amazon RDS の標準使用料が発生します。Amazon RDS の使用料の詳細については、「Amazon RDS の製品ページ」を参照してください。AWS の新規のお客様である場合は、Amazon RDS を無料でお試しいただけます。詳細については、「AWS 無料利用枠」を参照してください。

既に AWS アカウントをお持ちの場合は次のタスクに進んでください。AWS アカウントをお持ちでない場合は、次に説明する手順にしたがってアカウントを作成してください。

AWS アカウントを作成するには

  1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入力することが求められます。

次のタスクで AWS アカウント番号が必要となるので、メモしておいてください。

IAM ユーザーを作成する

AWS のサービス (Amazon RDS など) の場合は、サービスにアクセスする際に認証情報を指定する必要があります。これにより、サービスのリソースへアクセスするための権限を持っているかどうかがサービスによって判定されます。コンソールを使用するにはパスワードが必要です。AWS アカウントのアクセスキーを作成して、コマンドラインインターフェイスまたは API にアクセスすることができます。ただし、AWS アカウントの認証情報を使って AWS にアクセスすることはお勧めしません。代わりに AWS Identity and Access Management (IAM) を使用することをお勧めします。IAM ユーザーを作成して、管理権限を使ってこのユーザーを IAM グループに追加するか、管理権限を付与します。これで、特殊な URL と IAM ユーザーの認証情報を使って、AWS にアクセスできます。

AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソールを使用して作成できます。

自分用の IAM ユーザーを作成し、そのユーザーを管理者グループに追加するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) にサインインします。

  2. ナビゲーションペインで [Users]、[Add user] の順に選択します。

  3. [User name] で、ユーザー名 (Administrator など) を入力します。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 64 文字で構成できます。

  4. [AWS マネジメントコンソール access] の横のチェックボックスをオンにし、[Custom password] を選択して、新しいユーザーのパスワードをテキストボックスに入力します。オプションとして [Require password reset] を選択し、ユーザーが次回サインインしたときに新しいパスワードを選択することを強制できます。

  5. [Next: Permissions] を選択します。

  6. [Set permissions for user] ページで、[Add user to group] を選択します。

  7. [Create group] を選択します。

  8. [Create group] ダイアログボックスで、新しいグループの名前を入力します。名前には、英数字のほかに、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、下線 (_)、ハイフン (-) を使用できます。名前は、大文字と小文字が区別されず、最大 128 文字で構成できます。

  9. [Filter] で、[Job function] を選択します。

  10. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group] を選択します。

  11. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] を選択し、リスト内のグループを表示します。

  12. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。

この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス権限を制限する方法については、「アクセス管理」と「AWS リソースの管理に関するポリシーの例」を参照してください。

新規の IAM ユーザーとしてサインインするには、AWS コンソールからサインアウトし、次の URL を使用します。このとき、your_aws_account_id はハイフンを除いた AWS アカウント番号です (たとえば AWS アカウント番号が 1234-5678-9012 であれば、AWS アカウント ID は 123456789012 となります)。

Copy
https://your_aws_account_id.signin.aws.amazon.com/console/

作成した IAM ユーザー名とパスワードを入力します。サインインすると、ナビゲーションバーに「your_user_name @ your_aws_account_id」が表示されます。

サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成します。IAM ダッシュボードから [Customize] をクリックし、エイリアス (会社名など) を入力します。アカウントエイリアスを作成した後、サインインするには、次の URL を使用します。

Copy
https://your_account_alias.signin.aws.amazon.com/console/

アカウントの IAM ユーザーのサインインリンクを確認するには、IAM コンソールを開き、ダッシュボードの [AWS Account Alias] の下を確認します。

要件の特定

Amazon RDS の基本的な構成要素は DB インスタンスです。DB インスタンスとは、データベースが作成される場所です。DB インスタンスによって、エンドポイントと呼ばれるネットワークアドレスが提供されます。アプリケーションは、DB インスタンス内に作成されたデータベースへアクセスする必要がある場合、DB インスタンスによって公開されたエンドポイントに接続します。DB インスタンスの作成時に指定する情報によって、設定要素 (ストレージ、メモリ、データベースエンジンとバージョン、ネットワーク設定、セキュリティ、メンテナンス時間など) が制御されます。

セキュリティグループや DB インスタンスを作成するには、事前に DB インスタンスとネットワークに関する要件を理解しておく必要があります。たとえば、次の情報を把握しておく必要があります。

  • アプリケーションまたはサービスに関するメモリとプロセッサの要件。DB インスタンスの作成時にどのような DB インスタンスクラスを使用するかを決定する場合に、これら設定が使用されます。DB インスタンスクラスの仕様については、「DB インスタンスクラス」を参照してください。

  • DB インスタンスは Virtual Private Cloud (VPC) によく似ています。VPC 内にないレガシーインスタンスもありますが、新しい RDS ユーザー (2 年またはそれ未満)、または新しいリージョンにアクセスする場合は、おそらく VPC 内に DB インスタンスを作成します。DB インスタンスへの接続時に必要となるセキュリティグループルールは、DB インスタンスがデフォルトの VPC 内にあるか、ユーザー定義の VPC 内にあるのか、VPC の外部にあるかによって異なります。アカウントがリージョン内にデフォルトの VPC を所有しているかどうかを判断するには、「EC2-VPC または EC2-Classic のどちらのプラットフォームを使用するか判断する」を参照してください。各 VPC オプションに関するルールを次に説明します。

    • デフォルトの VPC — AWS アカウントがリージョン内にデフォルトの VPC を所有している場合、その VPC は DB インスタンスをサポートするように設定されます。DB インスタンスの作成時にデフォルトの VPC を指定する場合は、次の操作を行います。

      • アプリケーションやサービスからデータベースを含む Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを作成する必要があります。VPC セキュリティグループを作成するには、「Amazon EC2 API」を使用するか、VPC コンソールの [Security Group] オプションを使用する必要があります。詳細については、ステップ 4: VPC セキュリティグループを作成する を参照してください。

      • デフォルトの DB サブネットグループを指定する必要があります。リージョン内に作成した DB インスタンスが最初の DB インスタンスである場合、Amazon RDS では、DB インスタンスの作成時にデフォルトの DB サブネットグループが作成されます。

    • ユーザー定義の VPC — DB インスタンスの作成時にユーザー定義の VPC を指定する場合は、次の操作を行います。

      • アプリケーションやサービスからデータベースを含む Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを作成する必要があります。VPC セキュリティグループを作成するには、「Amazon EC2 API」を使用するか、VPC コンソールの [Security Group] オプションを使用する必要があります。詳細については、ステップ 4: VPC セキュリティグループを作成する を参照してください。

      • DB インスタンスをホストするには、VPC は特定の要件 (2 つ以上のサブネットを保持しており、各サブネットは個別のアベイラビリティーゾーン内にあることなど) を満たす必要があります。詳細については、Amazon Virtual Private Cloud (VPCs) と Amazon RDS を参照してください。

      • DB インスタンスで使用できる VPC 内のサブネットを定義する DB サブネットグループを指定する必要があります。詳細については、「VPC の DB インスタンスの使用」の「DB サブネットグループ」のセクションを参照してください。

    • VPC なし — AWS アカウントがデフォルトの VPC を所有しておらず、ユーザー定義の VPC も指定していない場合は、次の操作を行います。

      • アプリケーションを実行しているデバイスと Amazon RDS インスタンス、または DB インスタンス内のデータベースにアクセスするユーティリティからの接続を許可する DB セキュリティグループを指定する必要があります。詳細については、「DB セキュリティグループを操作する」を参照してください。

  • フェイルオーバーサポートが必要かどうか。Amazon RDS では、フェイルオーバーが発生した場合に使用できる DB インスタンスのスタンバイレプリカは、マルチ AZ 配置と呼ばれます。本稼働でワークロードが発生する場合は、マルチ AZ 配置を使用する必要があります。テスト目的の場合、マルチ AZ 配置ではなく、通常は 1 つのインスタンスで対応できます。

  • AWS アカウントが、Amazon RDS オペレーションの実行に必要な権限を付与するポリシーを持っているかどうか。IAM 認証情報を使用して AWS に接続する場合、IAM アカウントには、Amazon RDS オペレーションの実行に必要な権限を付与する IAM ポリシーが必要です。詳細については、「Amazon RDS に対する認証とアクセスコントロール」を参照してください。

  • データベースがリッスンするのは、どの TCP/IP ポートであるか。一部の企業のファイアウォールでは、データベースエンジン用のデフォルトのポートへの接続がブロックされる場合があります。会社のファイアウォールがデフォルトのポートをブロックしている場合は、新しい DB インスタンス用に他のポートを選択します。指定したポートをリッスンする DB インスタンスを作成すると、DB インスタンスを変更することでポートを変更できます。

  • データベースが必要となるリージョン。アプリケーションやウェブサービスの近くにデータベースを配置すると、ネットワークレイテンシーが低減されます。

  • ストレージの要件 (プロビジョンド IOPS を使用する必要があるかどうか)。Amazon RDS のストレージには、マグネティック、汎用 (SSD)、Provisioned IOPS (1 秒あたりの入力/出力オペレーション数) の 3 つの種類があります。マグネティックストレージはスタンダードストレージとも呼ばれ、アプリケーションの I/O 要件が少ないかまたはバースト性である場合に最適なコスト効果に優れたストレージです。gp2 とも呼ばれる汎用 SSD-Backed ストレージでは、ディスクベースのストレージより高速なアクセスを提供できます。プロビジョンド IOPS ボリュームは、ランダムアクセス I/O スループットにおけるストレージパフォーマンスと整合性が重要となる、I/O 集約型ワークロード (特にデータベースワークロード) の要件を満たすように設計されています。Amazon RDS ストレージの詳細については、「Amazon RDS のストレージ」を参照してください。

セキュリティグループと DB インスタンスの作成に必要な情報を把握したら、次のステップに進みます。

セキュリティグループを作成して、VPC 内の DB インスタンスへのアクセスを提供します。

DB インスタンスは、ほとんどの場合 VPC 内で作成されます。セキュリティグループは、VPC 内の DB インスタンスへのアクセスを提供します。セキュリティグループは、関連付けられた DB インスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルで制御します。DB インスタンスはデフォルトでファイアウォールによって作成され、DB インスタンスへのアクセスを禁止するデフォルトのセキュリティグループとなります。このため、DB インスタンスへの接続を可能にするルールをセキュリティグループに追加する必要があります。前のステップで決定したネットワークと設定に関する情報を使用して、DB インスタンスへのアクセスを許可するルールを作成します。

DB セキュリティグループを必要とする VPC 内にないレガシー DB インスタンスを持っていない限り、作成する必要があるセキュリティグループは VPC セキュリティグループとなります。2013 年 3 月以降に作成された AWS アカウントの場合、デフォルトの VPC を所有しており、その VPC 内に DB インスタンスが作成される可能性があります。VPC 内の DB インスタンスでは、インスタンスへのアクセスを許可するルールを VPC セキュリティグループに追加する必要があります。

たとえば、アプリケーションが VPC 内にある DB インスタンス上のデータベースにアクセスする場合、アプリケーションがデータベースにアクセスする際に使用するポート範囲と IP アドレスが指定された、カスタム TCP ルールを追加する必要があります。Amazon EC2 インスタンス上にアプリケーションがある場合は、Amazon EC2 インスタンスにセットアップした VPC または EC2 セキュリティグループを使用できます。

VPC セキュリティグループを作成するには

  1. AWS マネジメントコンソール にサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc) を開きます。

  2. AWS マネジメントコンソールの右上で、VPC セキュリティグループと DB インスタンスを作成するリージョンを選択します。そのリージョンの Amazon VPC リソースのリストには、1 つ以上の VPC と複数のサブネットがあることが示されます。このように示されない場合は、そのリージョン内にデフォルトの VPC がありません。

  3. ナビゲーションペインで、[Security Groups] をクリックします。

  4. [Create Security Group] をクリックします。

  5. [Create Security Group] ウィンドウで、セキュリティグループの [名前タグ]、[グループ名]、[説明] を入力します。DB インスタンスを作成する VPC を選択します。[Yes, Create] をクリックします。

  6. 作成した VPC セキュリティグループは、選択された状態になっています。コンソールウィンドウの下部にある詳細ペインには、セキュリティグループの詳細、およびインバウンドルールとアウトバウンドルールを操作するためのタブが表示されます。[Inbound Rules] タブをクリックします。

  7. [Inbound Rules] タブで、[Edit] をクリックします。[Type] リストから [Custom TCP Rule] を選択します。[PortRange] ボックスに、DB インスタンスに使用するポートの値を入力してから、[Source] ボックスで、インスタンスへのアクセス元の IP アドレス範囲 (CIDR 値) を入力するか、セキュリティグループ名を選択します。

  8. IP アドレスをさらに追加する場合、または別のポート範囲を追加する場合は、[Add another rule] をクリックします。

  9. 必要に応じて、[Outbound Rules] タブを使用し、アウトバウンドトラフィックのルールを追加できます。

  10. 完了したら、[Save] をクリックします。

    ここで作成した VPC セキュリティグループは、作成される DB インスタンスのセキュリティグループとして使用できます。DB インスタンスが VPC 内にない場合は、トピック「DB セキュリティグループを操作する」を参照して、DB インスタンスの作成時に使用する DB セキュリティグループを作成してください。

    最後に、VPC サブネットについて次の点に注意してください。デフォルトの VPC を使用する場合、すべての VPC サブネットを対象とするデフォルトのサブネットグループが既に自動的に作成されています。[Launch a DB Instance] ウィザードを使用して DB インスタンスを作成するとき、デフォルトの VPC を選択し、[DB Subnet Group] で [default] を使用することができます。

    セットアップに必要なステップが完了したら、ユーザーの要件と作成したセキュリティグループを利用して、DB インスタンスを起動できます。DB インスタンス作成の詳細については、以下の表にある関連資料を参照してください。