Einrichten Ihrer Umgebung für Amazon Aurora - Amazon Aurora
Registrieren für ein AWS-KontoEinen Administratorbenutzer erstellenErteilen programmgesteuerten ZugriffsErmitteln der AnforderungenZugriff auf den DB-Cluster bereitstellen

Einrichten Ihrer Umgebung für Amazon Aurora

Bevor Sie Amazon Aurora zum ersten Mal verwenden, führen Sie die folgenden Aufgaben aus.

Wenn Sie bereits ein AWS-Konto besitzen, Ihre Aurora-Anforderungen kennen und lieber die Standardwerte für IAM- und VPC-Sicherheitsgruppen verwenden, können Sie mit Erste Schritte mit Amazon Aurora fortfahren.

Registrieren für ein AWS-Konto

Wenn Sie kein AWS-Konto haben, führen Sie die folgenden Schritte zum Erstellen durch.

Anmeldung für ein AWS-Konto

  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Online-Anweisungen.

    Bei der Anmeldung müssen Sie auch einen Telefonanruf entgegennehmen und einen Verifizierungscode über die Telefontasten eingeben.

    Wenn Sie sich für ein AWS-Konto anmelden, wird ein Root-Benutzer des AWS-Kontos erstellt. Der Stammbenutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Methode zur Gewährleistung der Sicherheit sollten Sie den administrativen Zugriff einem administrativen Benutzer zuweisen und nur den Root-Benutzer verwenden, um Aufgaben auszuführen, die einen Root-Benutzerzugriff erfordern.

AWS sendet Ihnen eine Bestätigungs-E-Mail, sobald die Registrierung abgeschlossen ist. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/ auf und klicken Sie auf My Account (Mein Konto).

Einen Administratorbenutzer erstellen

Nachdem Sie sich für ein AWS-Konto registriert haben, erstellen Sie einen Administratorbenutzer, damit Sie nicht den Root-Benutzer für alltägliche Aufgaben verwenden.

Schützen Ihres Root-Benutzer des AWS-Kontos

  1. Melden Sie sich bei der AWS Management Console als Kontobesitzer an, indem Sie Stammbenutzer auswählen und Ihre AWS-Konto-E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im Benutzerhandbuch zu AWS-Anmeldung.

  2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.

    Anweisungen dazu finden Sie unter Aktivieren eines virtuellen MFA-Geräts für den Root-Benutzer Ihres AWS-Konto (Konsole) im IAM-Benutzerhandbuch.

Einen Administratorbenutzer erstellen

  • Weisen Sie einem Administratorbenutzer in AWS IAM Identity Center Administratorzugriff für Ihre täglichen administrativen Aufgaben zu.

    Anleitungen dazu finden Sie unter Erste Schritte im AWS IAM Identity Center-Benutzerhandbuch.

Als Administratorbenutzer anmelden

  • Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.

    Hilfe bei der Anmeldung mit einem IAM-Identity-Center-Benutzer finden Sie unter Anmelden beim AWS-Zugangsportal im Benutzerhandbuch zu AWS-Anmeldung.

Erteilen programmgesteuerten Zugriffs

Benutzer benötigen programmgesteuerten Zugriff, wenn sie außerhalb der AWS Management Console mit AWS interagieren möchten. Die Vorgehensweise, um programmgesteuerten Zugriff zu gewähren, hängt davon ab, welcher Benutzertyp auf AWS zugreift:

Wählen Sie eine der folgenden Optionen aus, um den Benutzern programmgesteuerten Zugriff zu gewähren.

Welcher Benutzer benötigt programmgesteuerten Zugriff? Bis Von

Mitarbeiteridentität

(Benutzer, die in IAM Identity Center verwaltet werden)

 Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
IAM Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen im IAM-Benutzerhandbuch.
IAM

(Nicht empfohlen)

Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anfragen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren.

Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.

Ermitteln der Anforderungen

Die Grundbausteine für Aurora sind DB-Cluster. Einem DB-Cluster können eine oder mehrere DB-Instances angehören. Ein DB-Cluster gibt eine Netzwerkadresse, den sogenannten Cluster-Endpunkt, an. Ihre Anwendungen verbinden sich immer dann mit dem vom DB-Cluster gezeigten Cluster-Endpunkt, wenn sie auf die Datenbanken zugreifen müssen, die in diesem DB-Cluster erstellt wurden. Die Informationen, die Sie beim Erstellen des DB-Clusters angeben, steuern Konfigurationselemente wie Arbeitsspeicher, Datenbank-Engine und -Version, Netzwerkkonfiguration, Sicherheit und Wartungszeiträume.

Bevor Sie einen DB-Cluster und eine Sicherheitsgruppe erstellen, müssen Sie Ihre DB-Cluster- und Netzwerkanforderungen kennen. Hier einige wichtige Dinge, die Sie berücksichtigen sollten:

  • Ressourcenanforderungen – Welche Anforderungen haben Sie an den Arbeitsspeicher und den Prozessor für Ihre Anwendung oder Ihren Service? Sie verwenden diese Einstellungen, wenn Sie bestimmen, welche DB-Instance-Klasse Sie beim Erstellen Ihres DB-Clusters nutzen. Spezifikationen für alle verfügbaren DB-Instance-Klassen finden Sie unter Aurora DB-Instance-Klassen.

  • VPC, Subnetz und Sicherheitsgruppe– Ihr DB-Cluster befindet sich in einer Virtual Private Cloud (VPC). Um eine Verbindung zu einem DB-Cluster herzustellen, müssen Regeln für Sicherheitsgruppen konfiguriert werden. Die folgende Liste beschreibt die Regeln für jede VPC-Option:

    • Standard-VPC – Sofern Ihr AWS-Konto über eine Standard-VPC in der AWS-Region verfügt, wird diese VPC für die Unterstützung von DB-Clustern konfiguriert. Wenn Sie beim Erstellen des DB-Clusters die Standard-VPC angeben:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Aurora-DB-Cluster autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 3: Erstellen einer VPC-Sicherheitsgruppe.

      • Sie müssen die Standard-DB-Subnetzgruppe angeben. Wenn dies der erste DB-Cluster ist, den Sie in der Region AWS angelegt haben, erstellt Amazon RDS beim Anlegen des DB-Clusters die Standard-DB-Subnetzgruppe.

    • Benutzerdefinierte VPC – wenn Sie beim Erstellen eines DB-Clusters eine benutzerdefinierte VPC angeben möchten:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Aurora-DB-Cluster autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 3: Erstellen einer VPC-Sicherheitsgruppe.

      • Die VPC muss bestimmte Anforderungen erfüllen, um DB-Cluster bereitzustellen, z. B. das Vorhandensein von zwei Subnetzen in jeweils einer separaten Availability Zone. Weitere Informationen finden Sie unter Amazon VPCs und Amazon Aurora.

      • Sie müssen eine DB-Subnetzgruppe angeben, die definiert, welche Subnetze in dieser VPC vom DB-Cluster genutzt werden können. Weitere Informationen erhalten Sie im Abschnitt "DB-Subnetzgruppen" unter Arbeiten mit einer DB-Cluster in einer VPC.

  • Hohe Verfügbarkeit: Benötigen Sie Failover-Unterstützung? Bei Aurora erstellt eine Multi-AZ-Bereitstellung eine primäre Instance sowie Aurora-Replicas. Sie können die primäre Instance und Aurora-Replicas so konfigurieren, dass sie sich in verschiedenen Availability Zones befinden, um Failover-Support zu erhalten. Wir empfehlen Multi-AZ-Bereitstellungen, um die hohe Verfügbarkeit von Produktions-Workloads sicherzustellen. Für Entwicklungs- und Testzwecke reicht gewöhnlich eine Bereitstellung ohne Multi-AZ. Weitere Informationen finden Sie unter Hohe Verfügbarkeit für Amazon Aurora.

  • IAM-Richtlinien: Verfügt Ihr AWS-Konto über Richtlinien, die erforderlichen Berechtigungen zum Ausführen von Amazon-RDS-Operationen gewähren? Wenn Sie sich mit AWS mithilfe von IAM-Anmeldeinformationen anmelden, muss Ihr IAM-Konto die IAM-Zugriffsrichtlinien mit den erforderlichen Berechtigungen für das Durchführen von Amazon-RDS-Vorgängen enthalten. Weitere Informationen finden Sie unter Identity and Access Management für Amazon Aurora.

  • Offene Ports: Welchen TCP/IP-Port fragt Ihre Datenbank ab? Die Firewalls einiger Unternehmen blockieren möglicherweise Verbindungen zum Standard-Port für Ihre Datenbank-Engine. Wenn die Firewall Ihres Unternehmens den Standardport blockiert, wählen Sie einen anderen Port für den neuen DB-Cluster aus. Nach dem Erstellen eines DB-Clusters, der einen angegebenen Port abfragt, können Sie diesen Port ändern, indem Sie den DB-Cluster modifizieren.

  • AWS Region: In welcher AWS-Region soll sich Ihre Datenbank befinden? Indem sich die Datenbank nahe bei der Anwendung oder dem Webdienst befindet, könnten Netzwerklatenzen verringert werden. Weitere Informationen finden Sie unter Regionen und Availability Zones.

Sobald Ihnen die benötigten Informationen zur Erstellung der Sicherheitsgruppe und des DB-Clusters vorliegen, fahren Sie mit dem nächsten Schritt fort.

Ermöglichen des Zugriffs auf den DB-Cluster in der VPC durch Erstellen einer Sicherheitsgruppe

Ihr DB-Cluster wird in einer VPC erstellt. Sicherheitsgruppen bieten Zugriff auf den DB-Cluster in der VPC. Sie fungieren als Firewall für die zugeordneten DB-Cluster und steuern den ein- und ausgehenden Datenverkehr auf der Cluster-Ebene. DB-Cluster werden standardmäßig mit einer Firewall und einer Standard-Sicherheitsgruppe erstellt, die den Zugriff auf den DB-Cluster verhindert. Sie müssen daher einer Sicherheitsgruppe Regeln hinzufügen, die es Ihnen ermöglichen, eine Verbindung zu Ihrem DB-Cluster herzustellen. Verwenden Sie die Netzwerk- und Konfigurationsinformationen, die Sie im vorherigen Schritt festgelegt haben, um Regeln für den Zugriff auf Ihren DB-Cluster festzulegen.

Wenn beispielsweise eine Anwendung auf eine Datenbank in Ihrem DB-Cluster in einer VPC zugreifen soll, müssen Sie eine benutzerdefinierte TCP-Regel hinzufügen, die den Portbereich und IP-Adressen angibt, mit denen die Anwendung auf die Datenbank zugreift. Befindet sich eine Anwendung auf einer Amazon-EC2-Instance, können Sie die VPC-Sicherheitsgruppe verwenden, die Sie für die Amazon-EC2-Instance eingerichtet haben.

Sie können die Konnektivität zwischen einer Amazon-EC2-Instance und einem DB-Cluster konfigurieren, wenn Sie den DB-Cluster erstellen. Weitere Informationen finden Sie unter Automatische Netzwerkkonnektivität mit einer EC2-Instance konfigurieren.

Tipp

Sie können die Netzwerkkonnektivität zwischen einer Amazon-EC2-Instance und einem DB-Cluster automatisch beim Erstellen des DB-Clusters einrichten. Weitere Informationen finden Sie unter Automatische Netzwerkkonnektivität mit einer EC2-Instance konfigurieren.

Weitere Informationen zum Erstellen einer VPC zur Verwendung mit Aurora finden Sie unter Tutorial: Erstellen einer VPC zur Verwendung mit einem DB-Cluster (nur IPv4). Informationen zu gängigen Szenarien für den Zugriff auf eine DB-Instance finden Sie unter Szenarien für den Zugriff auf eine DB-Cluster in einer VPC.

So erstellen Sie eine VPC-Sicherheitsgruppe

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc.

    Anmerkung

    Stellen Sie sicher, dass Sie sich in der VPC-Konsole befinden, nicht in der RDS-Konsole.

  2. Wählen Sie in der oberen rechten Ecke der AWS Management Console die AWS-Region aus, in der Sie Ihre VPC-Sicherheitsgruppe und Ihr DB-Cluster erstellen möchten. Die Liste der Amazon-VPC-Ressourcen für diese AWS-Region sollte zeigen, dass Sie über mindestens eine VPC und mehrere Subnetze verfügen. Anderenfalls haben Sie keine Standard-VPC in dieser AWS-Region.

  3. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  4. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

    Die Seite Sicherheitsgruppe erstellen wird angezeigt.

  5. Geben Sie im Feld Grundlegende Details den Namen der Sicherheitsgruppe und die Beschreibung ein. Wählen Sie unter VPC die VPC aus, in der Sie Ihren DB-Cluster erstellen möchten.

  6. Wählen Sie in Eingehende Regeln die Option Regel hinzufügen.

    1. Wählen Sie für Type (Typ) die Option Custom TCP (Benutzerdefiniertes TCP) aus.

    2. Geben Sie für Portbereich den Portwert ein, der für Ihren DB-Cluster verwendet werden soll.

    3. Wählen Sie für Source (Quelle) den Namen einer Sicherheitsgruppe oder geben Sie den IP-Adressbereich (CIDR-Wert) ein, von dem aus Sie auf den DB-Cluster zugreifen. Wenn Sie Meine IP auswählen, ermöglicht dies den Zugriff auf den DB-Cluster von der in Ihrem Browser erkannten IP-Adresse.

  7. Wenn Sie weitere IP-Adressen oder andere Portbereiche hinzufügen müssen, wählen Sie Regel hinzufügen und geben Sie die Informationen für die Regel ein.

  8. (Optional) Fügen Sie inRegeln für ausgehenden Datenverkehr Regeln für ausgehenden Datenverkehr hinzu. Standardmäßig ist der gesamte ausgehende Datenverkehr zugelassen.

  9. Wählen Sie Create security group (Sicherheitsgruppe erstellen).

Sie können die soeben erstellte VPC-Sicherheitsgruppe als Sicherheitsgruppe beim Anlegen Ihres DB-Clusters verwenden.

Anmerkung

Wenn Sie eine Standard-VPC verwenden, wird eine Standard-Subnetzgruppe für Sie angelegt, die alle Subnetze der VPC umfasst. Wenn Sie einen DB-Cluster erstellen, können Sie die Standard-VPC auswählen und Standard für die DB-Subnetzgruppe verwenden.

Nachdem Sie die Setup-Anforderungen erfüllt haben, können Sie einen DB-Cluster mit Ihren Anforderungen und Ihrer Sicherheitsgruppe erstellen, indem Sie den Anweisungen in Erstellen eines Amazon Aurora-DB Clusters. Informationen zu den ersten Schritten beim Erstellen eines DB-Clusters, der eine bestimmte DB-Engine verwendet, finden Sie unter Erste Schritte mit Amazon Aurora.