Einrichten für Amazon RDS - Amazon Relational Database Service

Einrichten für Amazon RDS

Führen Sie die folgenden Schritte aus, bevor Sie Amazon Relational Database Service zum ersten Mal verwenden:

Wenn Sie bereits ein AWS-Konto besitzen, Ihre Amazon RDS-Anforderungen kennen und lieber die Standardwerte für IAM- und VPC-Sicherheitsgruppen verwenden, können Sie mit Erste Schritte mit Amazon RDS fortfahren.

Registrieren bei AWS

Wenn Sie sich bei AWS registrieren, wird Ihr AWS-Konto automatisch für alle Services in AWS einschließlich Amazon RDS registriert. Berechnet werden Ihnen aber nur die Services, die Sie nutzen.

Mit Amazon RDS zahlen Sie nur für die Ressourcen, die Sie wirklich nutzen. Der von Ihnen erstellten Amazon RDS-DB-Instanzen sind aktiv (werden nicht in einer Sandbox ausgeführt). Die standardmäßigen Amazon RDS-Nutzungsgebühren für die Instance fallen so lange an, bis Sie sie beenden. Weitere Informationen zu den Amazon RDS-Nutzungsgebühren finden Sie auf der Amazon RDS-Produktseite. Wenn Sie ein AWS-Neukunde sind, können Sie kostenfrei bei Amazon RDS einsteigen. Weitere Informationen finden Sie unter Kostenloses Nutzungskontingent für AWS.

Wenn Sie bereits über ein AWS-Konto verfügen, fahren Sie mit dem nächsten Abschnitt fort, Erstellen eines IAM-Benutzers.

Wenn Sie kein AWS-Konto haben, können Sie die folgenden Schritte zum Erstellen eines Kontos ausführen.

Neues AWS-Konto erstellen

  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Online-Anweisungen.

    Der Anmeldeprozess beinhaltet auch einen Telefonanruf und die Eingabe eines Verifizierungscodes über die Telefontastatur.

Notieren Sie die AWS-Kontonummer. Sie benötigen sie im nächsten Schritt.

Erstellen eines IAM-Benutzers

Nachdem Sie ein AWS-Konto erstellt und sich erfolgreich mit der AWS Management Console verbunden haben, können Sie einen AWS Identity and Access Management-Benutzer (IAM) erstellen. Wir empfehlen Ihnen, zum Anmelden bei Amazon RDS die Anmeldeinformationen eines IAM-Administrators zu verwenden anstelle Ihrer AWS-Stamm-Anmeldeinformationen.

Eine Möglichkeit dafür ist, einen neuen IAM-Benutzer zu erstellen und ihm Administratorberechtigungen zu erteilen. Sie können stattdessen einen vorhandenen IAM-Benutzer einer IAM-Gruppe mit Amazon RDS-Administratorberechtigungen hinzufügen. Dann können Sie mithilfe einer speziellen URL und den Anmeldeinformationen des IAM-Benutzers auf AWS zugreifen.

Wenn Sie sich zwar bei AWS angemeldet, aber für sich selbst keinen IAM-Benutzer erstellt haben, können Sie mithilfe der IAM-Konsole einen Benutzer erstellen.

So erstellen Sie einen Administratorbenutzer für sich selbst und fügen ihn einer Administratorengruppe hinzu (Konsole)

  1. Melden Sie sich bei der IAM-Konsole als Kontoinhaber an, indem Sie Root user (Stammbenutzer) auswählen und die E-Mail-Adresse Ihres AWS-Konto eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Anmerkung

    Wir empfehlen Ihnen dringend, die bewährten Verfahren einzuhalten, den Administrator-IAM-Benutzer zu verwenden, der folgt, und die Anmeldeinformationen des Stammbenutzers sicher sperren. Melden Sie sich als Stammbenutzer an, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

  2. Wählen Sie im Navigationsbereich Users und dann Add User aus.

  3. Geben Sie unter Benutzername Administrator als Benutzernamen ein.

  4. Aktivieren Sie das Kontrollkästchen neben AWS Management Console access (Konsolenzugriff). Wählen Sie dann Custom password (Benutzerdefiniertes Passwort) aus und geben Sie danach Ihr neues Passwort in das Textfeld ein.

  5. (Optional) Standardmäßig erfordert AWS, dass der neue Benutzer bei der ersten Anmeldung ein neues Passwort erstellt. Sie können das Kontrollkästchen neben User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) deaktivieren, um dem neuen Benutzer zu ermöglichen, sein Kennwort nach der Anmeldung zurückzusetzen.

  6. Wählen Sie Next: Permissions aus.

  7. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Add user to group (Benutzer der Gruppe hinzufügen) aus.

  8. Wählen Sie Create group (Gruppe erstellen) aus.

  9. Geben Sie im Dialogfeld Create group (Gruppe erstellen) unter Group name (Gruppenname) Administrators ein.

  10. Wählen Sie Filter policies (Filterrichtlinien) und anschließend AWS managed – job function (AWS-verwaltet – Auftragsfunktion) aus, um den Tabelleninhalt zu filtern.

  11. Aktivieren Sie in der Richtlinienliste das Kontrollkästchen AdministratorAccess. Wählen Sie dann Create group aus.

    Anmerkung

    Sie müssen den Zugriff der IAM-Benutzer und -Rollen auf die Fakturierung aktivieren, bevor Sie die AdministratorAccess-Berechtigungen verwenden können, um auf die AWS Billing and Cost Management-Konsole zuzugreifen. Befolgen Sie hierzu die Anweisungen in Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.

  12. Kehren Sie zur Gruppenliste zurück und aktivieren Sie das Kontrollkästchen der neuen Gruppe. Möglicherweise müssen Sie Refresh auswählen, damit die Gruppe in der Liste angezeigt wird.

  13. Wählen Sie Next: Markierungen (Weiter: Markierungen) aus.

  14. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Markierungen als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Markierungen in IAM finden Sie unter Tagging von IAM-Entitäten im IAM-Benutzerhandbuch.

  15. Wählen Sie Next: Review aus, damit die Liste der Gruppenmitgliedschaften angezeigt wird, die dem neuen Benutzer hinzugefügt werden soll. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

Mit diesen Schritten können Sie weitere Gruppen und Benutzer erstellen und Ihren Benutzern Zugriff auf Ihre AWS-Konto -Ressourcen gewähren. Weitere Informationen dazu, wie Sie die Berechtigungen eines Benutzers auf bestimmte AWS-Ressourcen mithilfe von Richtlinien beschränken, finden Sie unter Zugriffsverwaltung und Beispielrichtlinien und Beispielrichtlinien.

Um sich als dieser neue IAM-Benutzer anzumelden, melden Sie sich zunächst von der AWS Management Console ab. Verwenden Sie dann die folgende URL, wobei your_aws_account_id die AWS-Kontonummer ohne Bindestriche repräsentiert. Wenn Ihre AWS-Kontonummer1234-5678-9012, lautet, ist Ihre AWS -Konto-ID 123456789012.

https://your_aws_account_id.signin.aws.amazon.com/console/

Geben Sie den IAM-Benutzernamen und das soeben von Ihnen erstellte Passwort ein. Nachdem Sie sich angemeldet haben, wird in der Navigationsleiste „your_user_name @ your_aws_account_id“ angezeigt.

Wenn Sie nicht möchten, dass die URL für Ihre Anmeldeseite Ihre AWS-Konto-ID enthält, können Sie einen Konto-Alias erstellen. Wählen Sie im IAM-Dashboard die Option Customize (Anpassen) aus und geben Sie das Alias ein, beispielsweise Ihren Firmennamen. Nach dem Erstellen eines Konto-Alias verwenden Sie die folgende URL, um sich anzumelden.

https://your_account_alias.signin.aws.amazon.com/console/

Öffnen Sie die IAM-Konsole, um den Anmeldelink für IAM-Benutzer in Ihrem Konto zu prüfen. Sie finden den Link auf dem Dashboard unter AWS-Konto-Alias.

Sie können auch Zugriffsschlüssel für Ihr AWS-Konto erstellen. Diese Zugriffsschlüssel können für den Zugriff auf AWS über die AWS Command Line Interface (AWS CLI) oder die Amazon-RDS-API verwendet werden. Weitere Informationen finden Sie unter Programmatischer Zugriff, Installieren, aktualisieren und deinstallieren des AWS CLI und in der Amazon-RDS-API-Referenz.

Ermitteln der Anforderungen

Die Grundbausteine für Amazon RDS sind Datenbank-Instances. In einer DB-Instance erstellen Sie Ihre Datenbanken. Eine DB-Instance gibt eine Netzwerkadresse, den sogenannten Endpunkt, an. Ihre Anwendungen verwenden diesen Endpunkt, um eine Verbindung mit Ihrer DB-Instance einzurichten. Wenn Sie eine DB-Instance erstellen, geben Sie Details wie Speicher, Arbeitsspeicher, Datenbank-Engine und -Version, Netzwerkkonfiguration, Sicherheit und Wartungszeiträume an. Der Netzwerkzugriff auf eine DB-Instance wird über eine Sicherheitsgruppe kontrolliert.

Bevor Sie eine DB-Instance und eine Sicherheitsgruppe erstellen, müssen Sie Ihre DB-Instance und die Netzwerkanforderungen kennen. Hier einige wichtige Dinge, die Sie berücksichtigen sollten:

  • Ressourcenanforderungen – Welche Anforderungen haben Sie an den Arbeitsspeicher und den Prozessor für Ihre Anwendung oder Ihren Service? Sie verwenden diese Einstellungen, um zu bestimmen, welche DB-Instance-Klasse Sie verwenden sollten. Spezifikationen für alle verfügbaren DB-Instance-Klassen finden Sie unter DB-Instance-Klassen.

  • VPC, Subnetz und Sicherheitsgruppe – Ihre DB-Instance befindet sich sehr wahrscheinlich in einer Virtual Private Cloud (VPC). Um eine Verbindung zu Ihrer DB-Instance einzurichten, müssen Sie Sicherheitsgruppenregeln festlegen. Diese Regeln werden abhängig davon, welche Art VPC und wie Sie diese VPC verwenden, unterschiedlich eingerichtet: in einer Standard-VPC, in einer benutzerdefinierten VPC.

    Die folgende Liste beschreibt die Regeln für jede VPC-Option:

    • Standard-VPC – Sofern Ihr AWS-Konto über eine Standard-VPC in der aktuellenAWS -Region verfügt, wird diese VPC für die Unterstützung von DB-Instances konfiguriert. Führen Sie folgende Schritte aus, wenn Sie beim Erstellen der DB-Instance die Standard-VPC angeben:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Amazon RDS-DB-Instance autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 4: Erstellen einer VPC-Sicherheitsgruppe.

      • Geben Sie die Standard-DB-Subnetzgruppe an. Wenn dies die erste DB-Instance ist, die Sie in dieser AWS-Region angelegt haben, erstellt Amazon RDS beim Anlegen der DB-Instance die Standard-DB-Subnetzgruppe.

    • Benutzerdefinierte VPC – Wenn Sie beim Erstellen einer DB-Instance eine benutzerdefinierte VPC angeben möchten, müssen Sie Folgendes beachten:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Amazon RDS-DB-Instance autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 4: Erstellen einer VPC-Sicherheitsgruppe.

      • Die VPC muss bestimmte Anforderungen erfüllen, um DB-Instances bereitzustellen, z. B. das Vorhandensein von zwei Subnetzen in jeweils einer separaten Availability Zone. Weitere Informationen finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

      • Sie müssen eine DB-Subnetzgruppe angeben, die definiert, welche Subnetze in dieser VPC von der DB-Instance genutzt werden können. Weitere Informationen erhalten Sie im Abschnitt "DB-Subnetzgruppen" unter Arbeiten mit einer DB-Instance in einer VPC.

      Anmerkung

      Einige Altkonten verwenden keine VPC. Wenn Sie auf eine neue AWS-Region zugreifen oder ein neuer RDS-Benutzer (nach 2013) sind, erstellen Sie sehr wahrscheinlich eine DB-Instance innerhalb einer VPC. Weitere Informationen finden Sie unter Ermitteln der verwendeten Plattform: EC2-VPC oder EC2-Classic.

  • Hohe Verfügbarkeit: Benötigen Sie Failover-Unterstützung? Auf Amazon RDS erzeugt eine Multi-AZ-Bereitstellung eine primäre DB-Instance und eine sekundäre Standby-DB-Instance in einer anderen Availability Zone, um einen Failover-Anwendungsfall zu unterstützen. Wir empfehlen Multi-AZ-Bereitstellungen, um die hohe Verfügbarkeit von Produktions-Workloads sicherzustellen. Für Entwicklungs- und Testzwecke reicht gewöhnlich eine Bereitstellung ohne Multi-AZ. Weitere Informationen finden Sie unter Hohe Verfügbarkeit (Multi-AZ) für Amazon RDS.

  • IAM-Richtlinien: Verfügt Ihr AWS-Konto über Richtlinien, die erforderlichen Berechtigungen zum Ausführen von Amazon-RDS-Operationen gewähren? Wenn Sie sich mit AWS mithilfe von IAM-Anmeldeinformationen anmelden, muss Ihr IAM-Konto die IAM-Zugriffsrichtlinien mit den erforderlichen Berechtigungen für das Durchführen von Amazon-RDS-Vorgängen enthalten. Weitere Informationen finden Sie unter Identity and Access Management in Amazon RDS.

  • Offene Ports: Welchen TCP/IP-Port fragt Ihre Datenbank ab? Die Firewalls einiger Unternehmen blockieren möglicherweise Verbindungen zum Standard-Port für Ihre Datenbank-Engine. Wenn die Firewall Ihres Unternehmens den Standardport blockiert, wählen Sie für die neue DB-Instance einen anderen Port. Beachten Sie, dass Sie nach dem Erstellen einer DB-Instance, die einen angegebenen Port abfragt, diesen Port ändern können, indem Sie die DB-Instance modifizieren.

  • AWS Region: In welcher AWS-Region soll sich Ihre Datenbank befinden? Indem sich Ihre Datenbank nahe bei der Anwendung oder dem Webdienst befindet, könnten Netzwerklatenzen verringert werden. Weitere Informationen finden Sie unter Regionen, Availability Zones und Local Zones .

  • DB-Datenträgersubsystem: Welche Speicheranforderungen haben Sie? Amazon RDS bietet drei Speichertypen:

    • Magnetspeicher (Standardspeicher)

    • Allzweck (SSD)

    • Bereitgestellte IOPS (PIOPS)

    Magnetspeicher ist ein kostengünstiger Speicher, der sich ideal für Anwendungen mit geringen oder diskontinuierlichen E/A-Anforderungen eignet. Allzweck-SSD-Speicher, auch gp2 genannt, kann schnelleren Zugriff als festplattenbasierter Speicher bieten. Speicher mit bereitgestellten IOPS sind darauf ausgelegt, die Anforderungen E/A-intensiver Workloads zu erfüllen, insbesondere von Datenbank-Workloads, die bei E/A-Durchsätzen mit zufälligen Zugriffen empfindlich auf die Speicherleistung und Konsistenz reagieren. Weitere Informationen zu Amazon RDS-Speichern finden Sie unter Amazon RDS-DB-Instance-Speicher.

Sobald Ihnen die benötigten Informationen zur Erstellung der Sicherheitsgruppe und der DB-Instance vorliegen, fahren Sie mit dem nächsten Schritt fort.

Ermöglichen des Zugriffs auf Ihre DB-Instance in der VPC durch Erstellen einer Sicherheitsgruppe

VPC-Sicherheitsgruppen bieten Zugriff auf DB-Instances in einer VPC. Sie fungieren als Firewall für die zugeordneten DB-Instances und steuern den ein- und ausgehenden Datenverkehr auf der DB-Instance-Ebene. DB-Instances werden standardmäßig mit einer Firewall und einer Standard-Sicherheitsgruppe erstellt, die DB-Instance schützen.

Bevor Sie eine Verbindung zu Ihrer DB-Instance einrichten können, müssen Sie einer Sicherheitsgruppe Regeln hinzufügen. Verwenden Sie Ihre Netzwerk- und Konfigurationsinformationen, um Regeln für den Zugriff auf Ihre DB-Instance festzulegen.

Nehmen wir beispielsweise an, dass Sie über eine Anwendung verfügen, die auf eine Datenbank in Ihrer DB-Instance in einer VPC zugreift. In diesem Fall müssen Sie eine benutzerdefinierte TCP-Regel hinzufügen, die den Portbereich und IP-Adressen angibt, womit die Anwendung auf die Datenbank zugreift. Befindet sich eine Anwendung auf einer Amazon EC2-Instance, können Sie die Sicherheitsgruppe verwenden, die Sie für die Amazon EC2-Instance eingerichtet haben.

Informationen zu gängigen Szenarien für den Zugriff auf eine DB-Instance finden Sie unter Szenarien für den Zugriff auf eine DB-Instance in einer VPC.

So erstellen Sie eine VPC-Sicherheitsgruppe

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc.

    Anmerkung

    Stellen Sie sicher, dass Sie sich in der VPC-Konsole befinden, nicht in der RDS-Konsole.

  2. Wählen Sie in der oberen rechten Ecke der AWS Management Console die AWS-Region aus, in der Sie Ihre VPC-Sicherheitsgruppe und Ihre DB-Instance erstellen möchten. Die Liste der Amazon-VPC-Ressourcen für diese AWS-Region sollte zeigen, dass Sie über mindestens eine VPC und mehrere Subnetze verfügen. Anderenfalls haben Sie keine Standard-VPC in dieser AWS-Region.

  3. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

  4. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

    Die Seite Sicherheitsgruppe erstellen wird angezeigt.

  5. Geben Sie im Feld Grundlegende Details den Namen der Sicherheitsgruppe und die Beschreibung ein. Wählen Sie unter VPC die VPC aus, in der Sie Ihre DB-Instance erstellen möchten.

  6. Wählen Sie in Eingehende Regeln die Option Regel hinzufügen.

    1. Wählen Sie für Type (Typ) die Option Custom TCP (Benutzerdefiniertes TCP) aus.

    2. Geben Sie für Portbereich den Portwert ein, der für Ihre DB-Instance verwendet werden soll.

    3. Wählen Sie für Source (Quelle) den Namen einer Sicherheitsgruppe oder geben Sie den IP-Adressbereich (CIDR-Wert) ein, von dem aus Sie auf die DB-Instance zugreifen. Wenn Sie My IP (Meine IP) auswählen, ermöglicht dies den Zugriff auf die DB-Instance von der in Ihrem Browser erkannten IP-Adresse.

  7. Wenn Sie weitere IP-Adressen oder andere Portbereiche hinzufügen müssen, wählen Sie Regel hinzufügen und geben Sie die Informationen für die Regel ein.

  8. (Optional) Fügen Sie inRegeln für ausgehenden Datenverkehr Regeln für ausgehenden Datenverkehr hinzu. Standardmäßig ist der gesamte ausgehende Datenverkehr zugelassen.

  9. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

Sie können die soeben erstellte VPC-Sicherheitsgruppe als die Sicherheitsgruppe beim Anlegen Ihrer DB-Instance verwenden.

Anmerkung

Wenn Sie eine Standard-VPC verwenden, wird eine Standard-Subnetzgruppe für Sie angelegt, die alle Subnetze der VPC umfasst. Wenn Sie eine DB-Instance erstellen, können Sie die Standard-VPC auswählen und default (Standard) für die DB Subnet Group (DB-Subnetzgruppe) verwenden.

Nachdem Sie die Setup-Anforderungen erfüllt haben, können Sie eine DB-Instance mit Ihren Anforderungen und Ihrer Sicherheitsgruppe erstellen, indem Sie den Anweisungen in Erstellen einer Amazon RDS-DB-Instance. Informationen zum Einstieg in die Erstellung einer DB-Instance, die eine bestimmte DB-Engine verwendet, finden Sie in der entsprechenden Dokumentation aus der folgenden Tabelle.

Anmerkung

Wenn Sie nach dem Erstellen keine Verbindung zu einer DB-Instance herstellen können, finden Sie unter Informationen zur Problembehandlun Verbindung zur Amazon RDS-DB-Instance kann nicht hergestellt werden.