Einrichten Ihrer Umgebung für Amazon Aurora - Amazon Aurora

Einrichten Ihrer Umgebung für Amazon Aurora

Bevor Sie Amazon Aurora zum ersten Mal verwenden, führen Sie die folgenden Aufgaben aus.

Wenn Sie bereits ein AWS-Konto besitzen, Ihre Aurora-Anforderungen kennen und lieber die Standardwerte für IAM- und VPC-Sicherheitsgruppen verwenden, können Sie mit Erste Schritte mit Amazon Aurora fortfahren.

Holen Sie sich ein AWS-Konto und Ihre Stammbenutzer-Anmeldeinformationen

Um auf AWS zuzugreifen, müssen Sie sich für ein AWS-Konto anmelden.

Sich für ein () registrieren AWS-Konto

  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Online-Anweisungen.

    Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.

    Wenn Sie sich für einen AWS-Konto anmelden, wird ein AWS-Konto-Root-Benutzer erstellt. Der Stammbenutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Methode zur Gewährleistung der Sicherheit sollten Sie den administrativen Zugriff einem administrativen Benutzer zuweisen und nur den Root-Benutzer verwenden, um Aufgaben auszuführen, die einen Root-Benutzerzugriff erfordern.

AWS sendet Ihnen eine Bestätigungs-E-Mail, sobald die Registrierung abgeschlossen ist. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/ auf und klicken Sie auf My Account (Mein Konto).

Erstellen eines IAM-Benutzers

Wenn Ihr Konto bereits einen IAM-Benutzer mit vollständigen AWS-Administratorberechtigungen enthält, können Sie diesen Abschnitt überspringen.

Wenn Sie ein AWS-Konto neu erstellen, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services und Ressourcen des Kontos hat. Diese Identität wird als AWS-Konto-Root-Benutzer bezeichnet. Für den Zugriff auf den Root-Benutzer müssen Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden.

Wichtig

Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden, auch nicht für administrative Aufgaben. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter Aufgaben, die Root-Benutzer-Anmeldeinformationen erfordern in der Allgemeinen AWS-Referenz.

Wählen Sie zum Erstellen eines Administratorbenutzers eine der folgenden Optionen aus.

Wählen Sie eine Möglichkeit zur Verwaltung Ihres Administrators aus. Bis Von Sie können auch
Im IAM Identity Center

(Empfohlen)

Verwendung von kurzfristigen Anmeldeinformationen für den Zugriff auf AWS.

Dies steht im Einklang mit den bewährten Methoden für die Sicherheit. Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Beachtung der Anweisungen unter Erste Schritte im AWS IAM Identity Center (successor to AWS Single Sign-On)-Benutzerhandbuch. Programmgesteuerten Zugriff unter Berücksichtigung der Informationen im Abschnitt Konfigurieren von AWS CLI für die Verwendung vonAWS IAM Identity Center (successor to AWS Single Sign-On) im AWS Command Line Interface-Benutzerhandbuch konfigurieren.
In IAM

(Nicht empfohlen)

Verwendung von langfristigen Anmeldeinformationen für den Zugriff auf AWS. Beachtung der Anweisungen unter Erstellen Ihres ersten IAM-Administratorbenutzers und Ihrer ersten Benutzergruppe im IAM-Benutzerhandbuch. Programmgesteuerten Zugriff unter Verwendung der Informationen unter Verwalten der Zugriffsschlüssel für IAM-Benutzer im IAM-Benutzerhandbuch konfigurieren.

Anmelden als IAM-Benutzer

Melden Sie sich bei der IAM-Konsole an, indem Sie IAM-Benutzer auswählen und Ihre AWS-Konto-ID oder Ihren Konto-Alias eingeben. Geben Sie auf der nächsten Seite Ihren IAM-Benutzernamen und Ihr Passwort ein.

Anmerkung

Zu Ihrer Bequemlichkeit verwendet die AWS-Anmeldeseite ein Browser-Cookie, um Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu speichern. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie den Anmeldeseite unter der Schaltfläche aus, um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS-Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzeranmeldeseite für Ihr Konto weitergeleitet zu werden.

Erstellen von Zugriffsschlüsseln für einen IAM-Benutzer

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Diese werden zum Signieren der von Ihnen ausgeführten programmgesteuerten Anforderungen an AWS verwendet. Wenn Sie noch keine Zugriffsschlüssel besitzen, können Sie diese über die AWS Management Console erstellen. Als bewährte Methode verwenden Sie nicht die Stammbenutzerzugriffsschlüssel des AWS-Konto-Kontos für die Aufgaben, für die dies nicht erforderlich ist. Erstellen Sie stattdessen einen neuen Administrator-IAM-Benutzer mit Zugriffsschlüsseln für sich selbst.

Sie können den geheimen Zugriffsschlüssel nur beim Erstellen anzeigen oder herunterladen. Später kann er nicht mehr wiederhergestellt werden. Sie können jedoch jederzeit neue Zugriffsschlüssel anlegen. Sie müssen auch über Berechtigungen zum Ausführen der erforderlichen IAM-Aktionen verfügen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen im IAM-Benutzerhandbuch.

Erstellen von Benutzerzugriffsschlüsseln für einen IAM-Benutzer

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie erst den Namen des Benutzers, dessen Zugriffsschlüssel Sie erstellen möchten und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) aus.

  4. Wählen Sie im Abschnitt Access keys (Zugriffsschlüssel) Create access key (Zugriffsschlüssel erstellen).

  5. Wählen Sie zum Anzeigen des neuen Zugriffsschlüsselpaars Show (Anzeigen) aus. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird. Ihre Anmeldeinformationen sehen etwa folgendermaßen aus:

    • Zugriffsschlüssel-ID: AKIAIOSFODNN7EXAMPLE

    • Geheimer Zugriffsschlüssel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. Wählen Sie zum Herunterladen des Schlüsselpaares Download .csv file aus. Speichern Sie die Schlüssel an einem sicheren Ort. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird.

    Behandeln Sie die Schlüssel vertraulich, um Ihr AWS-Konto-Konto zu schützen, und senden Sie sie niemals per E-Mail. Geben Sie die Schlüssel nicht außerhalb Ihrer Organisation weiter, auch nicht im Falle von Anfragen, die von AWS oder Amazon.com zu kommen scheinen. Niemand, der Amazon legitim vertritt, wird Sie nach dem geheimen Schlüssel fragen.

  7. Nachdem Sie die .csv-Datei heruntergeladen haben, klicken Sie auf Close (Schließen) Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Sie können es sofort verwenden.

Verwandte Themen

Ermitteln der Anforderungen

Die Grundbausteine für Aurora sind DB-Cluster. Einem DB-Cluster können eine oder mehrere DB-Instances angehören. Ein DB-Cluster gibt eine Netzwerkadresse, den sogenannten Cluster-Endpunkt, an. Ihre Anwendungen verbinden sich immer dann mit dem vom DB-Cluster gezeigten Cluster-Endpunkt, wenn sie auf die Datenbanken zugreifen müssen, die in diesem DB-Cluster erstellt wurden. Die Informationen, die Sie beim Erstellen des DB-Clusters angeben, steuern Konfigurationselemente wie Arbeitsspeicher, Datenbank-Engine und -Version, Netzwerkkonfiguration, Sicherheit und Wartungszeiträume.

Bevor Sie einen DB-Cluster und eine Sicherheitsgruppe erstellen, müssen Sie Ihre DB-Cluster- und Netzwerkanforderungen kennen. Hier einige wichtige Dinge, die Sie berücksichtigen sollten:

  • Ressourcenanforderungen – Welche Anforderungen haben Sie an den Arbeitsspeicher und den Prozessor für Ihre Anwendung oder Ihren Service? Sie verwenden diese Einstellungen, wenn Sie bestimmen, welche DB-Instance-Klasse Sie beim Erstellen Ihres DB-Clusters nutzen. Spezifikationen für alle verfügbaren DB-Instance-Klassen finden Sie unter Aurora DB-Instance-Klassen.

  • VPC, Subnetz und Sicherheitsgruppe– Ihr DB-Cluster befindet sich in einer Virtual Private Cloud (VPC). Um eine Verbindung zu einem DB-Cluster herzustellen, müssen Regeln für Sicherheitsgruppen konfiguriert werden. Die folgende Liste beschreibt die Regeln für jede VPC-Option:

    • Standard-VPC – Sofern Ihr AWS-Konto über eine Standard-VPC in der AWS-Region verfügt, wird diese VPC für die Unterstützung von DB-Clustern konfiguriert. Wenn Sie beim Erstellen des DB-Clusters die Standard-VPC angeben:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Aurora-DB-Cluster autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 3: Erstellen einer VPC-Sicherheitsgruppe.

      • Sie müssen die Standard-DB-Subnetzgruppe angeben. Wenn dies der erste DB-Cluster ist, den Sie in der Region AWS angelegt haben, erstellt Amazon RDS beim Anlegen des DB-Clusters die Standard-DB-Subnetzgruppe.

    • Benutzerdefinierte VPC – wenn Sie beim Erstellen eines DB-Clusters eine benutzerdefinierte VPC angeben möchten:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Aurora-DB-Cluster autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 3: Erstellen einer VPC-Sicherheitsgruppe.

      • Die VPC muss bestimmte Anforderungen erfüllen, um DB-Cluster bereitzustellen, z. B. das Vorhandensein von zwei Subnetzen in jeweils einer separaten Availability Zone. Weitere Informationen finden Sie unter Amazon VPCs und Amazon Aurora.

      • Sie müssen eine DB-Subnetzgruppe angeben, die definiert, welche Subnetze in dieser VPC vom DB-Cluster genutzt werden können. Weitere Informationen erhalten Sie im Abschnitt "DB-Subnetzgruppen" unter Arbeiten mit einer DB-Cluster in einer VPC.

  • Hohe Verfügbarkeit: Benötigen Sie Failover-Unterstützung? Bei Aurora erstellt eine Multi-AZ-Bereitstellung eine primäre Instance sowie Aurora-Replicas. Sie können die primäre Instance und Aurora-Replicas so konfigurieren, dass sie sich in verschiedenen Availability Zones befinden, um Failover-Support zu erhalten. Wir empfehlen Multi-AZ-Bereitstellungen, um die hohe Verfügbarkeit von Produktions-Workloads sicherzustellen. Für Entwicklungs- und Testzwecke reicht gewöhnlich eine Bereitstellung ohne Multi-AZ. Weitere Informationen finden Sie unter Hohe Verfügbarkeit für Amazon Aurora.

  • IAM-Richtlinien: Verfügt Ihr AWS-Konto über Richtlinien, die erforderlichen Berechtigungen zum Ausführen von Amazon-RDS-Operationen gewähren? Wenn Sie sich mit AWS mithilfe von IAM-Anmeldeinformationen anmelden, muss Ihr IAM-Konto die IAM-Zugriffsrichtlinien mit den erforderlichen Berechtigungen für das Durchführen von Amazon-RDS-Vorgängen enthalten. Weitere Informationen finden Sie unter Identity and Access Management für Amazon Aurora.

  • Offene Ports: Welchen TCP/IP-Port fragt Ihre Datenbank ab? Die Firewalls einiger Unternehmen blockieren möglicherweise Verbindungen zum Standard-Port für Ihre Datenbank-Engine. Wenn die Firewall Ihres Unternehmens den Standardport blockiert, wählen Sie einen anderen Port für den neuen DB-Cluster aus. Nach dem Erstellen eines DB-Clusters, der einen angegebenen Port abfragt, können Sie diesen Port ändern, indem Sie den DB-Cluster modifizieren.

  • AWS Region: In welcher AWS-Region soll sich Ihre Datenbank befinden? Indem sich die Datenbank nahe bei der Anwendung oder dem Webdienst befindet, könnten Netzwerklatenzen verringert werden. Weitere Informationen finden Sie unter Regionen und Availability Zones.

Sobald Ihnen die benötigten Informationen zur Erstellung der Sicherheitsgruppe und des DB-Clusters vorliegen, fahren Sie mit dem nächsten Schritt fort.

Ermöglichen des Zugriffs auf den DB-Cluster in der VPC durch Erstellen einer Sicherheitsgruppe

Ihr DB-Cluster wird in einer VPC erstellt. Sicherheitsgruppen bieten Zugriff auf den DB-Cluster in der VPC. Sie fungieren als Firewall für die zugeordneten DB-Cluster und steuern den ein- und ausgehenden Datenverkehr auf der Cluster-Ebene. DB-Cluster werden standardmäßig mit einer Firewall und einer Standard-Sicherheitsgruppe erstellt, die den Zugriff auf den DB-Cluster verhindert. Sie müssen daher einer Sicherheitsgruppe Regeln hinzufügen, die es Ihnen ermöglichen, eine Verbindung zu Ihrem DB-Cluster herzustellen. Verwenden Sie die Netzwerk- und Konfigurationsinformationen, die Sie im vorherigen Schritt festgelegt haben, um Regeln für den Zugriff auf Ihren DB-Cluster festzulegen.

Wenn beispielsweise eine Anwendung auf eine Datenbank in Ihrem DB-Cluster in einer VPC zugreifen soll, müssen Sie eine benutzerdefinierte TCP-Regel hinzufügen, die den Portbereich und IP-Adressen angibt, mit denen die Anwendung auf die Datenbank zugreift. Befindet sich eine Anwendung auf einer Amazon EC2-Instance, können Sie die VPC-Sicherheitsgruppe verwenden, die Sie für die Amazon-EC2-Instance eingerichtet haben.

Sie können die Konnektivität zwischen einer Amazon-EC2-Instance und einem DB-Cluster konfigurieren, wenn Sie den DB-Cluster erstellen. Weitere Informationen finden Sie unter Automatische Netzwerkkonnektivität mit einer EC2-Instance konfigurieren.

Tipp

Sie können die Netzwerkkonnektivität zwischen einer Amazon-EC2-Instance und einem DB-Cluster automatisch beim Erstellen des DB-Clusters einrichten. Weitere Informationen finden Sie unter Automatische Netzwerkkonnektivität mit einer EC2-Instance konfigurieren.

Weitere Informationen zum Erstellen einer VPC zur Verwendung mit Aurora finden Sie unter Tutorial: Erstellen einer VPC zur Verwendung mit einem DB-Cluster (nur IPv4). Informationen zu gängigen Szenarien für den Zugriff auf eine DB-Instance finden Sie unter Szenarien für den Zugriff auf eine DB-Cluster in einer VPC.

So erstellen Sie eine VPC-Sicherheitsgruppe

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc.

    Anmerkung

    Stellen Sie sicher, dass Sie sich in der VPC-Konsole befinden, nicht in der RDS-Konsole.

  2. Wählen Sie in der oberen rechten Ecke der AWS Management Console die AWS-Region aus, in der Sie Ihre VPC-Sicherheitsgruppe und Ihr DB-Cluster erstellen möchten. Die Liste der Amazon-VPC-Ressourcen für diese AWS-Region sollte zeigen, dass Sie über mindestens eine VPC und mehrere Subnetze verfügen. Anderenfalls haben Sie keine Standard-VPC in dieser AWS-Region.

  3. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

  4. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

    Die Seite Sicherheitsgruppe erstellen wird angezeigt.

  5. Geben Sie im Feld Grundlegende Details den Namen der Sicherheitsgruppe und die Beschreibung ein. Wählen Sie unter VPC die VPC aus, in der Sie Ihren DB-Cluster erstellen möchten.

  6. Wählen Sie in Eingehende Regeln die Option Regel hinzufügen.

    1. Wählen Sie für Type (Typ) die Option Custom TCP (Benutzerdefiniertes TCP) aus.

    2. Geben Sie für Portbereich den Portwert ein, der für Ihren DB-Cluster verwendet werden soll.

    3. Wählen Sie für Source (Quelle) den Namen einer Sicherheitsgruppe oder geben Sie den IP-Adressbereich (CIDR-Wert) ein, von dem aus Sie auf den DB-Cluster zugreifen. Wenn Sie Meine IP auswählen, ermöglicht dies den Zugriff auf den DB-Cluster von der in Ihrem Browser erkannten IP-Adresse.

  7. Wenn Sie weitere IP-Adressen oder andere Portbereiche hinzufügen müssen, wählen Sie Regel hinzufügen und geben Sie die Informationen für die Regel ein.

  8. (Optional) Fügen Sie inRegeln für ausgehenden Datenverkehr Regeln für ausgehenden Datenverkehr hinzu. Standardmäßig ist der gesamte ausgehende Datenverkehr zugelassen.

  9. Wählen Sie Create security group (Sicherheitsgruppe erstellen).

Sie können die soeben erstellte VPC-Sicherheitsgruppe als Sicherheitsgruppe beim Anlegen Ihres DB-Clusters verwenden.

Anmerkung

Wenn Sie eine Standard-VPC verwenden, wird eine Standard-Subnetzgruppe für Sie angelegt, die alle Subnetze der VPC umfasst. Wenn Sie einen DB-Cluster erstellen, können Sie die Standard-VPC auswählen und Standard für die DB-Subnetzgruppe verwenden.

Nachdem Sie die Setup-Anforderungen erfüllt haben, können Sie einen DB-Cluster mit Ihren Anforderungen und Ihrer Sicherheitsgruppe erstellen, indem Sie den Anweisungen in Erstellen eines Amazon Aurora-DB Clusters. Informationen zu den ersten Schritten beim Erstellen eines DB-Clusters, der eine bestimmte DB-Engine verwendet, finden Sie unter Erste Schritte mit Amazon Aurora.