Einrichten für Amazon RDS - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten für Amazon RDS

Führen Sie die Aufgaben in diesem Abschnitt aus, um Amazon Relational Database Service (Amazon RDS) zum ersten Mal einzurichten. Wenn Sie bereits ein AWS-Konto besitzen, Ihre Amazon RDS-Anforderungen kennen und lieber die Standardwerte für IAM- und VPC-Sicherheitsgruppen verwenden, können Sie zu Erste Schritte weitergehen.

Überblick über Amazon Web Services (AWS):

  • Wenn Sie sich erstmals für AWS; registrieren, hat Ihr AWS-Konto automatisch Zugriff auf alle Services in AWS, einschließlich Amazon RDS. Es werden jedoch nur die Services in Rechnung gestellt, die Sie tatsächlich nutzen.

  • Bei Amazon RDS zahlen Sie nur für die aktiven RDS-Instances. Die erstellte Amazon RDS-DB-Instance ist aktiv (sie wird nicht in einer Sandbox ausgeführt). Es fallen die standardmäßigen Amazon RDS-Nutzungsgebühren für die Instance an, bis Sie sie beenden. Weitere Informationen zu den Amazon RDS-Nutzungsgebühren finden Sie auf der Amazon RDS-Produktseite.

Registrieren bei AWS

Wenn Sie bereits über ein AWS-Konto verfügen, fahren Sie mit dem nächsten Abschnitt fort, Erstellen eines IAM-Benutzers.

Wenn Sie noch kein AWS-Konto haben, können Sie die folgenden Schritte zum Erstellen eines Kontos ausführen. Wenn Sie ein AWS-Neukunde sind, können Sie kostenfrei bei Amazon RDS einsteigen. Weitere Informationen finden Sie unter Kostenloses Nutzungskontingent für AWS.

Ein neues AWS-Konto erstellen

  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Onlineanweisungen.

    Der Anmeldeprozess beinhaltet auch einen Telefonanruf und die Eingabe eines Verifizierungscodes über die Telefontastatur.

Erstellen eines IAM-Benutzers

Nachdem Sie ein AWS-Konto erstellt und sich erfolgreich mit der AWS Management Console verbunden haben, können Sie einen AWS Identity and Access Management-Benutzer (IAM) erstellen. Wir empfehlen Ihnen, zum Anmelden bei Amazon RDS die Anmeldeinformationen eines IAM-Administrators zu verwenden anstelle Ihrer AWS-Root-Anmeldeinformationen.

Eine Möglichkeit dafür ist, einen neuen IAM-Benutzer zu erstellen und ihm Administratorberechtigungen zu erteilen. Sie können stattdessen einen vorhandenen IAM-Benutzer einer IAM-Gruppe mit Amazon RDS-Administratorberechtigungen hinzufügen. Dann können Sie mithilfe einer speziellen URL und den Anmeldeinformationen des IAM-Benutzers auf AWS zugreifen.

Wenn Sie sich zwar bei AWS angemeldet, aber für sich selbst keinen IAM-Benutzer erstellt haben, können Sie mithilfe der IAM-Konsole einen Benutzer erstellen.

So erstellen Sie einen Administratorbenutzer für sich selbst und fügen ihn einer Administratorengruppe hinzu (Konsole)

  1. Melden Sie sich bei der IAM-Konsole als Kontobesitzer an, indem Sie Root-Benutzer auswählen und die E-Mail-Adresse Ihres AWS-Kontos eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Anmerkung

    Wir empfehlen ausdrücklich, die bewährten Verfahren mithilfe des AdministratorIAM-Benutzers unten zu verwenden und die Anmeldeinformationen des Stammbenutzers an einem sicheren Ort abzulegen. Melden Sie sich als Stammbenutzer an, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

  2. Wählen Sie im Navigationsbereich Users und dann Add User aus.

  3. Geben Sie unter Benutzername Administrator als Benutzernamen ein.

  4. Aktivieren Sie das Kontrollkästchen neben AWS Management Console access (Konsolenzugriff). Wählen Sie dann Custom password (Benutzerdefiniertes Passwort) aus und geben Sie danach Ihr neues Passwort in das Textfeld ein.

  5. (Optional) Standardmäßig erfordert AWS, dass der neue Benutzer bei der ersten Anmeldung ein neues Passwort erstellt. Sie können das Kontrollkästchen neben User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) deaktivieren, um dem neuen Benutzer zu ermöglichen, sein Kennwort nach der Anmeldung zurückzusetzen.

  6. Wählen Sie Next: Permissions aus.

  7. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Add user to group (Benutzer der Gruppe hinzufügen) aus.

  8. Wählen Sie Create group (Gruppe erstellen) aus.

  9. Geben Sie im Dialogfeld Create group (Gruppe erstellen) unter Group name (Gruppenname) Administrators ein.

  10. Wählen Sie Filter policies (Richtlinien filtern) und anschließend AWS-managed job function (AWS-verwaltete Auftragsfunktion) aus, um den Tabelleninhalt zu filtern.

  11. Aktivieren Sie in der Richtlinienliste das Kontrollkästchen AdministratorAccess. Wählen Sie dann Create group aus.

    Anmerkung

    Sie müssen den Zugriff der IAM-Benutzer und -Rollen auf die Fakturierung aktivieren, bevor Sie die AdministratorAccess-Berechtigungen verwenden können, um auf die AWS Billing and Cost Management-Konsole zuzugreifen. Befolgen Sie hierzu die Anweisungen in Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.

  12. Kehren Sie zur Gruppenliste zurück und aktivieren Sie das Kontrollkästchen der neuen Gruppe. Möglicherweise müssen Sie Refresh auswählen, damit die Gruppe in der Liste angezeigt wird.

  13. Wählen Sie Weiter: Tags aus.

  14. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tagging von IAM-Entitäten im IAM-Benutzerhandbuch.

  15. Wählen Sie Next: Review aus, damit die Liste der Gruppenmitgliedschaften angezeigt wird, die dem neuen Benutzer hinzugefügt werden soll. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

Mit diesen Schritten können Sie weitere Gruppen und Benutzer erstellen und Ihren Benutzern Zugriff auf Ihre AWS-Kontoressourcen gewähren. Weitere Informationen dazu, wie Sie die Berechtigungen eines Benutzers auf bestimmte AWS-Ressourcen mithilfe von Richtlinien beschränken, finden Sie unter Zugriffsverwaltung und Beispielrichtlinien.

Um sich als dieser neue IAM-Benutzer anzumelden, melden Sie sich zunächst von der AWS Management Console ab. Verwenden Sie dann die folgende URL, wobei your_aws_account_id Ihre AWS-Kontonummer ohne die Bindestriche darstellt. Wenn Ihre AWS-Kontonummer 1234-5678-9012 lautet, ist Ihre AWS-Konto-ID 123456789012.

https://your_aws_account_id.signin.aws.amazon.com/console/

Geben Sie den IAM-Benutzernamen und das soeben von Ihnen erstellte Passwort ein. Nachdem Sie sich angemeldet haben, wird in der Navigationsleiste „your_user_name @ your_aws_account_id“ angezeigt.

Wenn Sie nicht möchten, dass die URL für Ihre Anmeldeseite Ihre AWS-Konto-ID enthält, können Sie einen Konto-Alias erstellen. Wählen Sie im IAM-Dashboard die Option Customize (Anpassen) aus und geben Sie das Alias ein, beispielsweise Ihren Firmennamen. Nach dem Erstellen eines Konto-Alias verwenden Sie die folgende URL, um sich anzumelden.

https://your_account_alias.signin.aws.amazon.com/console/

Öffnen Sie die IAM-Konsole, um den Anmeldelink für IAM-Benutzer in Ihrem Konto zu prüfen. Sie finden den Link auf dem Dashboard unter AWS Account Alias (AWS-Konto-Alias).

Sie können auch Zugriffsschlüssel für Ihr AWS-Konto erstellen. Diese Zugriffsschlüssel können für den Zugriff auf AWS über die AWS Command Line Interface (AWS CLI) oder die Amazon RDS API verwendet werden. Weitere Informationen finden Sie unter Programmatischer Zugriff, Installieren des AWS CLI und in der Amazon RDS-API-Referenz.

Ermitteln der Anforderungen

Die Grundbausteine für Amazon RDS sind Datenbank-Instances. In einer DB-Instance erstellen Sie Ihre Datenbanken. Eine DB-Instance gibt eine Netzwerkadresse, den sogenannten Endpunkt, an. Ihre Anwendungen verwenden diesen Endpunkt, um eine Verbindung mit Ihrer DB-Instance einzurichten. Wenn Sie eine DB-Instance erstellen, geben Sie Details wie Speicher, Arbeitsspeicher, Datenbank-Engine und -Version, Netzwerkkonfiguration, Sicherheit und Wartungszeiträume an. Der Netzwerkzugriff auf eine DB-Instance wird über eine Sicherheitsgruppe kontrolliert.

Bevor Sie eine DB-Instance und eine Sicherheitsgruppe erstellen, müssen Sie Ihre DB-Instance und die Netzwerkanforderungen kennen. Hier einige wichtige Dinge, die Sie berücksichtigen sollten:

  • Ressourcenanforderungen – Welche Anforderungen haben Sie an den Arbeitsspeicher und den Prozessor für Ihre Anwendung oder Ihren Service? Sie verwenden diese Einstellungen, um zu bestimmen, welche DB-Instance-Klasse Sie verwenden sollten. Spezifikationen für alle verfügbaren DB-Instance-Klassen finden Sie unter DB-Instance-Klassen.

  • VPC, Subnetz & Sicherheitsgruppe – Ihre DB-Instance befindet sich sehr wahrscheinlich in einer Virtual Private Cloud (VPC). Um eine Verbindung zu Ihrer DB-Instance einzurichten, müssen Sie Sicherheitsgruppenregeln festlegen. Diese Regeln werden abhängig davon, welche Art VPC und wie Sie diese VPC verwenden, unterschiedlich eingerichtet: in einer Standard-VPC, in einer benutzerdefinierten VPC oder außerhalb einer VPC.

    Anmerkung

    Einige Altkonten verwenden keine VPC. Wenn Sie auf eine neue AWS-Region zugreifen oder ein neuer RDS-Benutzer (nach 2013) sind, erstellen Sie sehr wahrscheinlich eine DB-Instance innerhalb einer VPC.

    Weitere Informationen darüber, wie Sie feststellen können, ob Ihr Konto über eine Standard-VPC in einer bestimmten AWS-Region verfügt, finden Sie unter Ermitteln der verwendeten Plattform: EC2-VPC oder EC2-Classic.

    Die folgende Liste beschreibt die Regeln für jede VPC-Option:

    • Standard-VPC – Sofern Ihr AWS-Konto über eine Standard-VPC in der aktuellen AWS-Region verfügt, wird diese VPC für die Unterstützung von DB-Instances konfiguriert. Führen Sie folgende Schritte aus, wenn Sie beim Erstellen der DB-Instance die Standard-VPC angeben:

      • Legen Sie eine VPC-Sicherheitsgruppe an, die Verbindungen von der Anwendung oder dem Dienst zur Amazon RDS-DB-Instance mit der Datenbank autorisiert. Verwenden Sie die Option Amazon EC2 API oder die Option Security Group (Sicherheitsgruppe) in der VPC-Konsole, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 4: Erstellen einer VPC-Sicherheitsgruppe.

      • Geben Sie die Standard-DB-Subnetzgruppe an. Wenn dies die erste DB-Instance ist, die Sie in dieser AWS-Region angelegt haben, erstellt Amazon RDS beim Anlegen der DB-Instance die Standard-DB-Subnetzgruppe.

    • Benutzerdefinierte VPC – Wenn Sie beim Erstellen einer DB-Instance eine benutzerdefinierte VPC angeben möchten, müssen Sie Folgendes beachten:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Dienst zur Amazon RDS-DB-Instance mit der Datenbank autorisiert. Verwenden Sie die Option Amazon EC2 API oder die Option Security Group (Sicherheitsgruppe) in der VPC-Konsole, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 4: Erstellen einer VPC-Sicherheitsgruppe.

      • Die VPC muss bestimmte Anforderungen erfüllen, um DB-Instances bereitzustellen, z. B. das Vorhandensein von zwei Subnetzen in jeweils einer separaten Availability Zone. Weitere Informationen finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

      • Sie müssen eine DB-Subnetzgruppe angeben, die definiert, welche Subnetze in dieser VPC von der DB-Instance genutzt werden können. Weitere Informationen erhalten Sie im Abschnitt "DB-Subnetzgruppen" unter Arbeiten mit einer DB-Instance in einer VPC.

    • Keine VPC – Wenn Ihr AWS-Konto nicht über eine Standard-VPC verfügt und Sie keine benutzerdefinierte VPC angeben, müssen Sie eine DB-Sicherheitsgruppe erstellen. Eine DB-Sicherheitsgruppe lässt Verbindungen von den Geräten und Amazon RDS-Instances zu, auf denen die Anwendungen bzw. Hilfsprogramme für den Zugriff auf Datenbanken in der DB-Instance ausgeführt werden. Weitere Informationen finden Sie unter Arbeiten mit DB-Sicherheitsgruppen (EC2-Classic-Plattform).

  • Hohe Verfügbarkeit: Benötigen Sie Failover-Unterstützung? Auf Amazon RDS erzeugt eine Multi-AZ-Bereitstellung eine primäre DB-Instance und eine sekundäre Standby-DB-Instance in einer anderen Availability Zone, um einen Failover-Anwendungsfall zu unterstützen. Wir empfehlen Multi-AZ-Bereitstellungen, um die hohe Verfügbarkeit von Produktions-Workloads sicherzustellen. Für Entwicklungs- und Testzwecke reicht gewöhnlich eine Bereitstellung ohne Multi-AZ. Weitere Informationen finden Sie unter Hohe Verfügbarkeit (Multi-AZ) für Amazon RDS.

  • IAM-Richtlinien: Verfügt Ihr AWS-Konto über Richtlinien, die erforderlichen Berechtigungen zum Ausführen von Amazon RDS-Operationen gewähren? Wenn Sie sich mit AWS mithilfe von IAM-Anmeldeinformationen anmelden, muss Ihr IAM-Konto die IAM-Zugriffsrichtlinien mit den erforderlichen Berechtigungen für das Durchführen von Amazon RDS-Vorgängen enthalten. Weitere Informationen finden Sie unter Identity and Access Management in Amazon RDS.

  • Offene Ports: Welchen TCP/IP-Port fragt Ihre Datenbank ab? Die Firewalls einiger Unternehmen blockieren möglicherweise Verbindungen zum Standard-Port für Ihre Datenbank-Engine. Wenn die Firewall Ihres Unternehmens den Standardport blockiert, wählen Sie für die neue DB-Instance einen anderen Port. Beachten Sie, dass Sie nach dem Erstellen einer DB-Instance, die einen angegebenen Port abfragt, diesen Port ändern können, indem Sie die DB-Instance modifizieren.

  • AWS-Region: In welcher AWS-Region soll sich Ihre Datenbank befinden? Indem sich Ihre Datenbank nahe bei der Anwendung oder dem Webdienst befindet, könnten Netzwerklatenzen verringert werden.

  • DB-Datenträgersubsystem: Welche Speicheranforderungen haben Sie? Amazon RDS stellt drei Speichertypen zur Verfügung:

    • Magnetspeicher (Standardspeicher)

    • Allzweck (SSD)

    • Bereitgestellte IOPS (PIOPS)

    Magnetspeicher ist ein kostengünstiger Speicher, der sich ideal für Anwendungen mit geringen oder diskontinuierlichen E/A-Anforderungen eignet. Allzweck-SSD-Speicher, auch gp2 genannt, kann schnelleren Zugriff als festplattenbasierter Speicher bieten. Speicher mit bereitgestellten IOPS sind darauf ausgelegt, die Anforderungen E/A-intensiver Workloads zu erfüllen, insbesondere von Datenbank-Workloads, die bei E/A-Durchsätzen mit zufälligen Zugriffen empfindlich auf die Speicherleistung und Konsistenz reagieren. Weitere Informationen zu Amazon RDS-Speichern finden Sie unter Amazon RDS-DB-Instance-Speicher.

Sobald Ihnen die benötigten Informationen zur Erstellung der Sicherheitsgruppe und der DB-Instance vorliegen, fahren Sie mit dem nächsten Schritt fort.

Ermöglichen des Zugriffs auf Ihre DB-Instance in der VPC durch Erstellen einer Sicherheitsgruppe

VPC-Sicherheitsgruppen bieten Zugriff auf DB-Instances in einer VPC. Sie fungieren als Firewall für die zugeordneten DB-Instances und steuern den ein- und ausgehenden Datenverkehr auf der Instance-Ebene. DB-Instances werden standardmäßig mit einer Firewall und einer Standard-Sicherheitsgruppe erstellt, die DB-Instance schützen.

Bevor Sie eine Verbindung zu Ihrer DB-Instance einrichten können, müssen Sie einer Sicherheitsgruppe Regeln hinzufügen. Verwenden Sie Ihre Netzwerk- und Konfigurationsinformationen, um Regeln für den Zugriff auf Ihre DB-Instance festzulegen.

Anmerkung

Wenn Ihre alte DB-Instance vor dem März 2013 erstellt wurde und sich nicht in einer VPC befindet, sind ihr möglicherweise keine Sicherheitsgruppen zugeordnet. Wurde Ihre DB-Instance nach diesem Datum erstellt, befindet sie sich möglicherweise in einer Standard-VPC.

Nehmen wir beispielsweise an, dass Sie über eine Anwendung verfügen, die auf eine Datenbank in Ihrer DB-Instance in einer VPC zugreift. In diesem Fall müssen Sie eine benutzerdefinierte TCP-Regel hinzufügen, die den Portbereich und IP-Adressen angibt, womit die Anwendung auf die Datenbank zugreift. Befindet sich eine Anwendung auf einer Amazon EC2-Instance, können Sie die Sicherheitsgruppe verwenden, die Sie für die Amazon EC2-Instance eingerichtet haben.

So erstellen Sie eine VPC-Sicherheitsgruppe

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc.

  2. Wählen Sie in der oberen rechten Ecke der AWS Management Console die AWS-Region aus, in der Sie Ihre VPC-Sicherheitsgruppe und Ihre DB-Instance erstellen möchten. Die Liste der Amazon VPC-Ressourcen für diese AWS-Region sollte zeigen, dass Sie über mindestens eine VPC und mehrere Subnetze verfügen. Anderenfalls haben Sie keine Standard-VPC in dieser AWS-Region.

  3. Wählen Sie im Navigationsbereich Security Groups aus.

  4. Wählen Sie Create Security Group aus.

  5. Geben Sie im Fenster Create Security Group (Sicherheitsgruppe erstellen) in Name tag (Namensbezeichner), Group name (Gruppenname) und Description (Beschreibung) die entsprechenden Werte für Ihre Sicherheitsgruppe ein. Wählen Sie unter VPC die VPC aus, in der Sie Ihre DB-Instance erstellen möchten. Wählen Sie Yes, Create (Jetzt erstellen) aus.

  6. Die von Ihnen erstellte VPC-Sicherheitsgruppe sollte immer noch ausgewählt sein. Andernfalls suchen Sie sie in der Liste und wählen sie aus. Der Detailbereich am unteren Rand des Konsolenfensters zeigt die Details zur Sicherheitsgruppe sowie Registerkarten für das Arbeiten mit den Regeln für ein- und ausgehenden Datenverkehr. Wählen Sie die Registerkarte Regeln für eingehenden Datenverkehr aus.

  7. Wählen Sie auf der Registerkarte Inbound Rules die Option Edit aus.

    1. Wählen Sie für Type Custom TCP Rule aus.

    2. Geben Sie für Port Range (Portbereich) den Port-Wert ein, den Sie für Ihre DB-Instance verwenden.

    3. Wählen Sie für Source (Quelle) den Namen einer Sicherheitsgruppe oder geben Sie den IP-Adressbereich (CIDR-Wert) ein, von dem aus Sie auf die Instance zugreifen. Wenn Sie My IP (Meine IP) auswählen, ermöglicht dies den Zugriff auf die DB-Instance von der in Ihrem Browser erkannten IP-Adresse.

  8. Wenn Sie weitere IP-Adressen oder andere Portbereiche hinzufügen müssen, wählen Sie Add another rule (Eine weitere Regel hinzufügen).

  9. (Optional) Verwenden Sie die Registerkarte Outbound Rules (Regeln für ausgehenden Datenverkehr), um Regeln für ausgehenden Datenverkehr hinzuzufügen. Standardmäßig ist der gesamte ausgehende Datenverkehr zugelassen.

Sie können die soeben erstellte VPC-Sicherheitsgruppe als die Sicherheitsgruppe beim Anlegen Ihrer DB-Instance verwenden. Wenn sich Ihre DB-Instance nicht in einer VPC befinden wird, erfahren Sie unter Arbeiten mit DB-Sicherheitsgruppen (EC2-Classic-Plattform), wie Sie eine DB-Sicherheitsgruppe erstellen können, die Sie beim Anlegen Ihrer DB-Instance verwenden.

Anmerkung

Wenn Sie eine Standard-VPC verwenden, wird eine Standard-Subnetzgruppe für Sie angelegt, die alle Subnetze der VPC umfasst. Wenn Sie eine DB-Instance erstellen, können Sie die Standard-VPC auswählen und default (Standard) für die DB Subnet Group (DB-Subnetzgruppe) verwenden.

Sobald Sie die erforderliche Einrichtung abgeschlossen haben, können Sie eine DB-Instance unter Verwendung Ihrer Anforderungen und Sicherheitsgruppe starten. Weitere Informationen über das Erstellen einer DB-Instance finden Sie bei den entsprechenden Informationen in der folgenden Tabelle.

Anmerkung

Wenn Sie nach dem Erstellen keine Verbindung zu einer DB-Instance herstellen können, finden Sie unter Verbindung zur Amazon RDS-DB-Instance kann nicht hergestellt werden Informationen zur Problembehandlung.