Einrichten für Amazon RDS - Amazon Relational Database Service

Einrichten für Amazon RDS

Führen Sie die folgenden Aufgaben aus, bevor Sie Amazon Relational Database Service zum ersten Mal verwenden.

Wenn Sie bereits ein AWS-Konto besitzen, Ihre Amazon RDS-Anforderungen kennen und lieber die Standardwerte für IAM- und VPC-Sicherheitsgruppen verwenden, können Sie mit Erste Schritte mit Amazon RDS fortfahren.

Holen Sie sich ein AWS-Konto und Ihre Stammbenutzer-Anmeldeinformationen

Um auf AWS zuzugreifen, müssen Sie sich für ein AWS-Konto anmelden.

Sich für ein () registrieren AWS-Konto

  1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.

  2. Folgen Sie den Online-Anweisungen.

    Der Anmeldeprozess beinhaltet auch einen Telefonanruf und die Eingabe eines Verifizierungscodes über die Telefontastatur.

AWS sendet Ihnen eine Bestätigungs-E-Mail, sobald die Registrierung abgeschlossen ist. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/ auf und klicken Sie auf My Account (Mein Konto).

Erstellen eines IAM-Benutzers

Wenn Ihr Konto bereits einen IAM-Benutzer mit vollständigen AWS-Administratorberechtigungen enthält, können Sie diesen Abschnitt überspringen.

Wenn Sie zum ersten Mal ein Konto bei Amazon Web Services (AWS) erstellen, beginnen Sie mit einer Single-Sign-In-Identität. Diese Identität hat vollständigen Zugriff auf alle AWS-Services und -Ressourcen im Konto. Diese Identität wird als Stammbenutzer des AWS-Konto bezeichnet. Geben Sie bei der Anmeldung die E-Mail-Adresse und das Passwort ein, die bzw. das Sie beim Erstellen des Kontos verwendet haben.

Wichtig

Wir raten ausdrücklich davon ab, den Stammbenutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden. Folgen Sie stattdessen dem bewährten Verfahren, den Stammbenutzer ausschließlich zur Erstellung des ersten IAM-Benutzers zu verwenden. Anschließend legen Sie die Anmeldedaten für den Stammbenutzer an einem sicheren Ort ab und verwenden sie nur, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen. Weitere Informationen zu den Aufgaben, die Sie nur als Stammbenutzer ausführen können, finden Sie unter Aufgaben, die Stammbenutzer-Anmeldeinformationen benötigen.

Einen Administratorbenutzer für sich selbst erstellen und einer Administratorengruppe hinzufügen (Konsole)

  1. Melden Sie sich bei der IAM-Konsole als Kontoinhaber an, indem Sie Root user (Stammbenutzer) auswählen und die E-Mail-Adresse Ihres AWS-Konto eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.

    Anmerkung

    Wir empfehlen ausdrücklich, die bewährten Verfahren mithilfe des Administrator-IAM-Benutzers unten zu verwenden und die Anmeldeinformationen des Stammbenutzers an einem sicheren Ort auzubewahren. Melden Sie sich als Stammbenutzer an, um einige Konto- und Service-Verwaltungsaufgaben durchzuführen.

  2. Wählen Sie im Navigationsbereich Users und dann Add User.

  3. Geben Sie unter User Name (Benutzername) den Text Administrator ein.

  4. Aktivieren Sie das Kontrollkästchen neben AWS Management Console access (Konsolenzugriff). Wählen Sie dann Custom password (Benutzerdefiniertes Passwort) aus und geben Sie danach ein neues Passwort in das Textfeld ein.

  5. (Optional) Standardmäßig erfordert AWS, dass der neue Benutzer bei der ersten Anmeldung ein neues Passwort erstellt. Sie können das Kontrollkästchen neben User must create a new password at next sign-in (Benutzer muss bei der nächsten Anmeldung ein neues Passwort erstellen) deaktivieren, damit der neue Benutzer sein Kennwort nach der Anmeldung zurücksetzen kann.

  6. Wählen Sie Next: Permissions (Weiter: Berechtigungen) aus.

  7. Wählen Sie unter Set permissions (Berechtigungen festlegen) die Option Add user to group (Benutzer der Gruppe hinzufügen) aus.

  8. Wählen Sie Create group (Gruppe erstellen) aus.

  9. Geben Sie im Dialogfeld Create group (Gruppe erstellen) unter Group name (Gruppenname) den Wert Administrators ein.

  10. Wählen Sie Filter policies (Filterrichtlinien) und anschließend AWSmanaged - job function (verwaltet – Auftragsfunktion) aus, um den Tabelleninhalt zu filtern.

  11. Aktivieren Sie in der Richtlinienliste das Kontrollkästchen AdministratorAccess. Wählen Sie dann Create group (Gruppe erstellen) aus.

    Anmerkung

    Sie müssen den Zugriff der IAM-Benutzer und -Rollen auf die Fakturierung aktivieren, bevor Sie die AdministratorAccess-Berechtigungen verwenden können, um auf die AWS Billing and Cost Management-Konsole zuzugreifen. Befolgen Sie hierzu die Anweisungen in Schritt 1 des Tutorials zum Delegieren des Zugriffs auf die Abrechnungskonsole.

  12. Kehren Sie zur Gruppenliste zurück und aktivieren Sie das Kontrollkästchen der neuen Gruppe. Möglicherweise müssen Sie Refresh (Aktualisieren) auswählen, damit die Gruppe in der Liste angezeigt wird.

  13. Wählen Sie Next: Tags (Weiter: Tags) aus.

  14. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Markierungen als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Entitäten im IAM-Benutzerhandbuch.

  15. Wählen Sie Next: Review (Weiter: Prüfen) aus, damit die Liste der Gruppenmitgliedschaften angezeigt wird, die dem neuen Benutzer hinzugefügt werden soll. Wenn Sie bereit sind, fortzufahren, wählen Sie Create user (Benutzer erstellen) aus.

Mit diesen Schritten können Sie weitere Gruppen und Benutzer erstellen und Ihren Benutzern Zugriff auf Ihre AWS-Konto-Ressourcen gewähren. Weitere Informationen dazu, wie Sie die Berechtigungen eines Benutzers auf bestimmte AWS-Ressourcen mithilfe von Richtlinien beschränken, finden Sie unter Zugriffsverwaltung und Beispielrichtlinien und Beispielrichtlinien.

Anmelden als IAM-Benutzer

Melden Sie sich bei der IAM-Konsole an, indem Sie IAM-Benutzer auswählen und Ihre AWS-Konto-ID oder Ihren Konto-Alias eingeben. Geben Sie auf der nächsten Seite Ihren IAM-Benutzernamen und Ihr Passwort ein.

Anmerkung

Zu Ihrer Bequemlichkeit verwendet die AWS-Anmeldeseite ein Browser-Cookie, um Ihren IAM-Benutzernamen und Ihre Kontoinformationen zu speichern. Wenn Sie sich zuvor als anderer Benutzer angemeldet haben, wählen Sie den Anmeldeseite unter der Schaltfläche aus, um zur Hauptanmeldeseite zurückzukehren. Von dort aus können Sie Ihre AWS-Konto-ID oder Ihren Kontoalias eingeben, um zur IAM-Benutzeranmeldeseite für Ihr Konto weitergeleitet zu werden.

Erstellen von Zugriffsschlüsseln für einen IAM-Benutzer

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Diese werden zum Signieren der von Ihnen ausgeführten programmgesteuerten Anforderungen an AWS verwendet. Wenn Sie noch keine Zugriffsschlüssel besitzen, können Sie diese über die AWS Management Console erstellen. Als bewährte Methode verwenden Sie nicht die Stammbenutzerzugriffsschlüssel des AWS-Konto-Kontos für die Aufgaben, für die dies nicht erforderlich ist. Erstellen Sie stattdessen einen neuen Administrator-IAM-Benutzer mit Zugriffsschlüsseln für sich selbst.

Sie können den geheimen Zugriffsschlüssel nur beim Erstellen anzeigen oder herunterladen. Später kann er nicht mehr wiederhergestellt werden. Sie können jedoch jederzeit neue Zugriffsschlüssel anlegen. Sie müssen auch über Berechtigungen zum Ausführen der erforderlichen IAM-Aktionen verfügen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen im IAM-Benutzerhandbuch.

Erstellen von Benutzerzugriffsschlüsseln für einen IAM-Benutzer

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie erst den Namen des Benutzers, dessen Zugriffsschlüssel Sie erstellen möchten und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) aus.

  4. Wählen Sie im Abschnitt Access keys (Zugriffsschlüssel) Create access key (Zugriffsschlüssel erstellen).

  5. Wählen Sie zum Anzeigen des neuen Zugriffsschlüsselpaars Show (Anzeigen) aus. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird. Ihre Anmeldeinformationen sehen etwa folgendermaßen aus:

    • Zugriffsschlüssel-ID: AKIAIOSFODNN7EXAMPLE

    • Geheimer Zugriffsschlüssel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. Wählen Sie zum Herunterladen des Schlüsselpaares Download .csv file aus. Speichern Sie die Schlüssel an einem sicheren Ort. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird.

    Behandeln Sie die Schlüssel vertraulich, um Ihr AWS-Konto-Konto zu schützen, und senden Sie sie niemals per E-Mail. Geben Sie die Schlüssel nicht außerhalb Ihrer Organisation weiter, auch nicht im Falle von Anfragen, die von AWS oder Amazon.com zu kommen scheinen. Niemand, der Amazon legitim vertritt, wird Sie nach dem geheimen Schlüssel fragen.

  7. Nachdem Sie die .csv-Datei heruntergeladen haben, klicken Sie auf Close (Schließen) Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Sie können es sofort verwenden.

Verwandte Themen

Ermitteln der Anforderungen

Die Grundbausteine für Amazon RDS sind Datenbank-Instances. In einer DB-Instance erstellen Sie Ihre Datenbanken. Eine DB-Instance gibt eine Netzwerkadresse, den sogenannten Endpunkt, an. Ihre Anwendungen verwenden diesen Endpunkt, um eine Verbindung mit Ihrer DB-Instance einzurichten. Wenn Sie eine DB-Instance erstellen, geben Sie Details wie Speicher, Arbeitsspeicher, Datenbank-Engine und -Version, Netzwerkkonfiguration, Sicherheit und Wartungszeiträume an. Der Netzwerkzugriff auf eine DB-Instance wird über eine Sicherheitsgruppe kontrolliert.

Bevor Sie eine DB-Instance und eine Sicherheitsgruppe erstellen, müssen Sie Ihre DB-Instance und die Netzwerkanforderungen kennen. Hier einige wichtige Dinge, die Sie berücksichtigen sollten:

  • Ressourcenanforderungen – Welche Anforderungen haben Sie an den Arbeitsspeicher und den Prozessor für Ihre Anwendung oder Ihren Service? Sie verwenden diese Einstellungen, um zu bestimmen, welche DB-Instance-Klasse Sie verwenden sollten. Spezifikationen für alle verfügbaren DB-Instance-Klassen finden Sie unter DB-Instance-Klassen.

  • VPC, Subnetz und Sicherheitsgruppe – Ihre DB-Instance befindet sich sehr wahrscheinlich in einer Virtual Private Cloud (VPC). Um eine Verbindung zu Ihrer DB-Instance einzurichten, müssen Sie Sicherheitsgruppenregeln festlegen. Diese Regeln werden abhängig davon, welche Art VPC und wie Sie diese VPC verwenden, unterschiedlich eingerichtet: in einer Standard-VPC, in einer benutzerdefinierten VPC.

    Die folgende Liste beschreibt die Regeln für jede VPC-Option:

    • Standard-VPC – Sofern Ihr AWS-Konto über eine Standard-VPC in der aktuellenAWS -Region verfügt, wird diese VPC für die Unterstützung von DB-Instances konfiguriert. Führen Sie folgende Schritte aus, wenn Sie beim Erstellen der DB-Instance die Standard-VPC angeben:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Amazon RDS-DB-Instance autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 4: Erstellen einer VPC-Sicherheitsgruppe.

      • Geben Sie die Standard-DB-Subnetzgruppe an. Wenn dies die erste DB-Instance ist, die Sie in dieser AWS-Region angelegt haben, erstellt Amazon RDS beim Anlegen der DB-Instance die Standard-DB-Subnetzgruppe.

    • Benutzerdefinierte VPC – Wenn Sie beim Erstellen einer DB-Instance eine benutzerdefinierte VPC angeben möchten, müssen Sie Folgendes beachten:

      • Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Amazon RDS-DB-Instance autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 4: Erstellen einer VPC-Sicherheitsgruppe.

      • Die VPC muss bestimmte Anforderungen erfüllen, um DB-Instances bereitzustellen, z. B. das Vorhandensein von zwei Subnetzen in jeweils einer separaten Availability Zone. Weitere Informationen finden Sie unter Amazon Virtual Private Cloud VPCs und Amazon RDS.

      • Sie müssen eine DB-Subnetzgruppe angeben, die definiert, welche Subnetze in dieser VPC von der DB-Instance genutzt werden können. Weitere Informationen erhalten Sie im Abschnitt "DB-Subnetzgruppen" unter Arbeiten mit einer DB-Instance in einer VPC.

      Anmerkung

      Einige Altkonten verwenden keine VPC. Wenn Sie auf eine neue AWS-Region zugreifen oder ein neuer RDS-Benutzer (nach 2013) sind, erstellen Sie sehr wahrscheinlich eine DB-Instance innerhalb einer VPC. Weitere Informationen finden Sie unter Ermitteln der verwendeten Plattform: EC2-VPC oder EC2-Classic.

  • Hohe Verfügbarkeit: Benötigen Sie Failover-Unterstützung? Auf Amazon RDS erzeugt eine Multi-AZ-Bereitstellung eine primäre DB-Instance und eine sekundäre Standby-DB-Instance in einer anderen Availability Zone, um einen Failover-Anwendungsfall zu unterstützen. Wir empfehlen Multi-AZ-Bereitstellungen, um die hohe Verfügbarkeit von Produktions-Workloads sicherzustellen. Für Entwicklungs- und Testzwecke reicht gewöhnlich eine Bereitstellung ohne Multi-AZ. Weitere Informationen finden Sie unter Multi-AZ-Bereitstellungen für Hochverfügbarkeit.

  • IAM-Richtlinien: Verfügt Ihr AWS-Konto über Richtlinien, die erforderlichen Berechtigungen zum Ausführen von Amazon-RDS-Operationen gewähren? Wenn Sie sich mit AWS mithilfe von IAM-Anmeldeinformationen anmelden, muss Ihr IAM-Konto die IAM-Zugriffsrichtlinien mit den erforderlichen Berechtigungen für das Durchführen von Amazon-RDS-Vorgängen enthalten. Weitere Informationen finden Sie unter Identity and Access Management in Amazon RDS.

  • Offene Ports: Welchen TCP/IP-Port fragt Ihre Datenbank ab? Die Firewalls einiger Unternehmen blockieren möglicherweise Verbindungen zum Standard-Port für Ihre Datenbank-Engine. Wenn die Firewall Ihres Unternehmens den Standardport blockiert, wählen Sie für die neue DB-Instance einen anderen Port. Beachten Sie, dass Sie nach dem Erstellen einer DB-Instance, die einen angegebenen Port abfragt, diesen Port ändern können, indem Sie die DB-Instance modifizieren.

  • AWS Region: In welcher AWS-Region soll sich Ihre Datenbank befinden? Indem sich Ihre Datenbank nahe bei der Anwendung oder dem Webdienst befindet, könnten Netzwerklatenzen verringert werden. Weitere Informationen finden Sie unter Regionen, Availability Zones und Local Zones.

  • DB-Datenträgersubsystem: Welche Speicheranforderungen haben Sie? Amazon RDS bietet drei Speichertypen:

    • Magnetspeicher (Standardspeicher)

    • Allzweck (SSD)

    • Bereitgestellte IOPS (PIOPS)

    Magnetspeicher ist ein kostengünstiger Speicher, der sich ideal für Anwendungen mit geringen oder diskontinuierlichen E/A-Anforderungen eignet. Allzweck-SSD-Speicher, auch gp2 genannt, kann schnelleren Zugriff als festplattenbasierter Speicher bieten. Speicher mit bereitgestellten IOPS sind darauf ausgelegt, die Anforderungen E/A-intensiver Workloads zu erfüllen, insbesondere von Datenbank-Workloads, die bei E/A-Durchsätzen mit zufälligen Zugriffen empfindlich auf die Speicherleistung und Konsistenz reagieren. Weitere Informationen zu Amazon RDS-Speichern finden Sie unter Amazon RDS-DB-Instance-Speicher.

Sobald Ihnen die benötigten Informationen zur Erstellung der Sicherheitsgruppe und der DB-Instance vorliegen, fahren Sie mit dem nächsten Schritt fort.

Ermöglichen des Zugriffs auf Ihre DB-Instance in der VPC durch Erstellen einer Sicherheitsgruppe

VPC-Sicherheitsgruppen bieten Zugriff auf DB-Instances in einer VPC. Sie fungieren als Firewall für die zugeordneten DB-Instances und steuern den ein- und ausgehenden Datenverkehr auf der DB-Instance-Ebene. DB-Instances werden standardmäßig mit einer Firewall und einer Standard-Sicherheitsgruppe erstellt, die DB-Instance schützen.

Bevor Sie eine Verbindung zu Ihrer DB-Instance einrichten können, müssen Sie einer Sicherheitsgruppe Regeln hinzufügen. Verwenden Sie Ihre Netzwerk- und Konfigurationsinformationen, um Regeln für den Zugriff auf Ihre DB-Instance festzulegen.

Nehmen wir beispielsweise an, dass Sie über eine Anwendung verfügen, die auf eine Datenbank in Ihrer DB-Instance in einer VPC zugreift. In diesem Fall müssen Sie eine benutzerdefinierte TCP-Regel hinzufügen, die den Portbereich und IP-Adressen angibt, womit die Anwendung auf die Datenbank zugreift. Befindet sich eine Anwendung auf einer Amazon EC2-Instance, können Sie die Sicherheitsgruppe verwenden, die Sie für die Amazon EC2-Instance eingerichtet haben.

Informationen zu gängigen Szenarien für den Zugriff auf eine DB-Instance finden Sie unter Szenarien für den Zugriff auf eine DB-Instance in einer VPC.

So erstellen Sie eine VPC-Sicherheitsgruppe

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc.

    Anmerkung

    Stellen Sie sicher, dass Sie sich in der VPC-Konsole befinden, nicht in der RDS-Konsole.

  2. Wählen Sie in der oberen rechten Ecke der AWS Management Console die AWS-Region aus, in der Sie Ihre VPC-Sicherheitsgruppe und Ihre DB-Instance erstellen möchten. Die Liste der Amazon-VPC-Ressourcen für diese AWS-Region sollte zeigen, dass Sie über mindestens eine VPC und mehrere Subnetze verfügen. Anderenfalls haben Sie keine Standard-VPC in dieser AWS-Region.

  3. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

  4. Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.

    Die Seite Sicherheitsgruppe erstellen wird angezeigt.

  5. Geben Sie im Feld Grundlegende Details den Namen der Sicherheitsgruppe und die Beschreibung ein. Wählen Sie unter VPC die VPC aus, in der Sie Ihre DB-Instance erstellen möchten.

  6. Wählen Sie in Eingehende Regeln die Option Regel hinzufügen.

    1. Wählen Sie für Type (Typ) die Option Custom TCP (Benutzerdefiniertes TCP) aus.

    2. Geben Sie für Portbereich den Portwert ein, der für Ihre DB-Instance verwendet werden soll.

    3. Wählen Sie für Source (Quelle) den Namen einer Sicherheitsgruppe oder geben Sie den IP-Adressbereich (CIDR-Wert) ein, von dem aus Sie auf die DB-Instance zugreifen. Wenn Sie My IP (Meine IP) auswählen, ermöglicht dies den Zugriff auf die DB-Instance von der in Ihrem Browser erkannten IP-Adresse.

  7. Wenn Sie weitere IP-Adressen oder andere Portbereiche hinzufügen müssen, wählen Sie Regel hinzufügen und geben Sie die Informationen für die Regel ein.

  8. (Optional) Fügen Sie inRegeln für ausgehenden Datenverkehr Regeln für ausgehenden Datenverkehr hinzu. Standardmäßig ist der gesamte ausgehende Datenverkehr zugelassen.

  9. Wählen Sie Create security group (Sicherheitsgruppe erstellen).

Sie können die soeben erstellte VPC-Sicherheitsgruppe als die Sicherheitsgruppe beim Anlegen Ihrer DB-Instance verwenden.

Anmerkung

Wenn Sie eine Standard-VPC verwenden, wird eine Standard-Subnetzgruppe für Sie angelegt, die alle Subnetze der VPC umfasst. Wenn Sie eine DB-Instance erstellen, können Sie die Standard-VPC auswählen und default (Standard) für die DB Subnet Group (DB-Subnetzgruppe) verwenden.

Nachdem Sie die Setup-Anforderungen erfüllt haben, können Sie eine DB-Instance mit Ihren Anforderungen und Ihrer Sicherheitsgruppe erstellen, indem Sie den Anweisungen in Erstellen einer Amazon RDS-DB-Instance. Informationen zum Einstieg in die Erstellung einer DB-Instance, die eine bestimmte DB-Engine verwendet, finden Sie in der entsprechenden Dokumentation aus der folgenden Tabelle.

Anmerkung

Wenn Sie nach dem Erstellen keine Verbindung zu einer DB-Instance herstellen können, finden Sie unter Informationen zur Problembehandlun Verbindung zur Amazon RDS-DB-Instance kann nicht hergestellt werden.