Configuration pour Amazon RDS - Amazon Relational Database Service

Configuration pour Amazon RDS

Avant d'utiliser Amazon Relational Database Service pour la première fois, exécutez les tâches suivantes.

Si vous possédez un compte AWS, connaissez les exigences d'Amazon RDS et préférez utiliser les valeurs par défaut pour les groupes de sécurité IAM et VPC, passez directement à la section Mise en route avec Amazon RDS.

Obtenir un compte Compte AWS et vos informations d'identification d'utilisateur racine

Pour accéder à AWS, vous devez vous inscrire pour obtenir un compte Compte AWS.

Pour s'inscrire à un Compte AWS
  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, un utilisateur root Compte AWS se crée. Par défaut, seul l'utilisateur root a accès à l'ensemble des Services AWS et des ressources de ce compte. Comme bonne pratique de sécurité, attribuez un accès administratif à un utilisateur administratif et utilisez l'utilisateur root uniquement pour effectuer des tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation lorsque le processus d'inscription est terminé. Vous pouvez afficher l'activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en cliquant sur My Account (Mon compte).

Créer un utilisateur IAM

Si votre compte inclut déjà un utilisateur IAM disposant d'autorisations administratives AWS, vous pouvez sauter cette section.

Lorsque vous créez un Compte AWS pour la première fois, vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les Services AWS et ressources du compte. Cette identité est appelée Compte AWS utilisateur root. Vous pouvez y accéder en vous connectant à l'aide de l'adresse électronique et du mot de passe que vous avez utilisés pour créer le compte.

Important

Il est vivement recommandé de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes. Protégez vos informations d'identification d'utilisateur root et utilisez-les pour effectuer les tâches que seul l'utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu'utilisateur root, consultez Tâches nécessitant des informations d'identification d'utilisateur root dans la Référence générale d'AWS.

Afin de créer un utilisateur administrateur, choisissez l'une des options suivantes :

Choisissez un moyen de gérer votre administrateur Pour Bit Vous pouvez également
Dans IAM Identity Center

(Recommandé)

Utiliser des identifiants à court terme pour accéder à AWS.

Telles sont les meilleures pratiques en matière de sécurité. Pour plus d'informations sur les bonnes pratiques, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l'utilisateur IAM.

Suivre les instructions de la section Mise en route dans le AWS IAM Identity Center (successor to AWS Single Sign-On) Guide de l'utilisateur. Configuration de l'accès par programmation en Configurant le AWS CLI à utiliser AWS IAM Identity Center (successor to AWS Single Sign-On)dans le AWS Command Line InterfaceGuide de l'utilisateur.
Dans IAM

(Non recommandé)

Utiliser des identifiants à long terme pour accéder à AWS. Suivre les instructions relatives à la Création de votre premier groupe utilisateur administrateur et utilisateur IAM dans le Guide de l'utilisateur IAM. Configuration de l'accès par programmation enGestion des clés d'accès pour les utilisateurs IAMdans le Guide de l'utilisateur IAM.

Connectez-vous en tant qu'utilisateur IAM.

Connectez-vous à la console IAM en choisissant l'utilisateur IAM et en saisissant votre ID ou votre alias de compte Compte AWS. Sur la page suivante, saisissez votre nom d'utilisateur IAM et votre mot de passe.

Note

Pour votre commodité, la page d'ouverture de séance AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Si vous vous êtes déjà connecté avec des informations d'utilisateur différentes, choisissez le lien de connexion situé sous le bouton pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre Compte AWS ID ou votre alias de compte pour être redirigé vers la page de connexion de l'utilisateur IAM pour votre compte.

Création de clés d'accès utilisateur IAM

Les clés d'accès se composent d'un ID de clé d'accès et d'une clé d'accès secrète, qui servent à signer des demandes par programme adressées à AWS. Si vous ne disposez pas des clé d'accès, vous pouvez les créer à partir de l'AWS Management Console. Une bonne pratique consiste à ne pas utiliser de clés d'accès d'utilisateur racine Compte AWS en lien avec des tâches pour l'exécution desquelles elles ne sont pas requises. Au lieu de cela, créez un utilisateur IAM administrateur avec des clés d'accès pour vous-même.

La seule fois où vous pouvez voir ou télécharger la clé d'accès secrète est lors de sa création. Vous pouvez pas la récupérer par la suite. En revanche, vous pouvez créer des clés d'accès à tout moment. Vous devez également disposer d'autorisations pour effectuer les actions IAM requises. Pour plus d'informations, consultez Autorisations requises pour accéder aux ressources IAM dans le Guide de l'utilisateur IAM.

Pour créer des clés d'accès pour un utilisateur IAM
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez créer les clés d'accès, puis choisissez l'onglet Security credentials (Informations d'identification de sécurité).

  4. Dans la section Access keys (Clés d'accès), choisissez Create access key (Créer une clé d'accès).

  5. Pour afficher la nouvelle clé d'accès, choisissez Show (Afficher). Vous ne pourrez pas accéder à la clé d'accès secrète à nouveau une fois que cette boîte de dialogue se sera fermée. Vos informations d'identification s'afficheront comme suit :

    • ID de clé d'accès : AKIAIOSFODNN7EXAMPLE

    • Clé d'accès secrète : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. Pour télécharger la paire de clés, choisissez Télécharger le fichier .csv. Stockez les clés dans un emplacement sûr. Vous ne pourrez pas accéder à la clé d'accès secrète à nouveau une fois que cette boîte de dialogue se sera fermée.

    Préservez la confidentialité des clés afin de protéger votre Compte AWS et ne les envoyez jamais par e-mail. Ne les divulguez à personne hors de votre entreprise, même si vous recevez une demande qui semble provenir d'AWS ou d'Amazon.com. Aucun véritable représentant d'Amazon ne vous demandera jamais de lui fournir votre clé secrète.

  7. Après avoir téléchargé le fichier .csv, choisissez Close (Fermer). Lorsque vous créez une clé d'accès, la paire de clés est activée par défaut et vous pouvez utiliser la paire immédiatement.

Voir aussi

Déterminer les exigences

La fondation de base d'Amazon RDS est l'instance de base de données. Dans une instance de base de données, vous pouvez créer vos bases de données. Une instance de base de données fournit une adresse réseau appelée point de terminaison. Vos applications utilisent ce point de terminaison pour se connecter à votre instance de base de données. Lorsque vous créez une instance de base de données, vous spécifiez des détails tels que le stockage, la mémoire, le moteur et la version de la base de données, la configuration réseau, la sécurité et les périodes de maintenance. Votre contrôlez l'accès réseau à une instance de base de données via un groupe de sécurité.

Avant de créer une instance de base de données et un groupe de sécurité, vous devez connaître les besoins en termes d'instances de base de données et de réseau. Voici quelques éléments importants à prendre en compte :

  • Exigences en matière de ressources– Quelles sont les exigences de votre application ou de votre service en termes de mémoire et de processeur ? Vous utilisez ces paramètres pour déterminer plus facilement la classe d'instance de base de données à utiliser. Pour obtenir les caractéristiques des classes des instances de bases de données, consultez Classes d'instances de base de données .

  • VPC, sous-réseau et groupe de sécurité– Votre instance de base de données se trouvera le plus probablement dans un Virtual Private Cloud (VPC). Pour vous connecter à votre instance de base de données, vous devez configurer des règles de groupes de sécurité. Ces règles sont configurées différemment selon le type de VPC que vous utilisez et selon la manière dont vous l'utilisez. Par exemple, vous pouvez utiliser : un VPC par défaut ou un VPC défini par l'utilisateur.

    La liste suivante décrit les règles pour chaque option de VPC :

    • VPC par défaut – Si votre compte AWS possède un VPC par défaut dans la région AWS actuelle, ce VPC est configuré pour prendre en charge des instances de base de données. Si vous spécifiez le VPC par défaut lorsque vous créez l'instance de base de données, procédez comme suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service à l'instance de base de données Amazon RDS. Utilisez l'option Security Group (Groupe de sécurité) de la console VPC ou l'AWS CLI pour créer des groupes de sécurité VPC. Pour plus d'informations, consultez Étape 4 : Créer un groupe de sécurité VPC.

      • Spécifiez le groupe de sous-réseaux DB par défaut. S'il s'agit de la première instance de base de données que vous avez créee dans cette région AWS, Amazon RDS créé le groupe de sous-réseau de base de données par défaut au moment de la création de l'instance de base de données.

    • VPC défini par l'utilisateur– Si vous souhaitez spécifier un VPC défini par l'utilisateur lorsque vous créez une instance de base de données, tenez compte de ce qui suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service à l'instance de base de données Amazon RDS. Utilisez l'option Security Group (Groupe de sécurité) de la console VPC ou l'AWS CLI pour créer des groupes de sécurité VPC. Pour plus d'informations, consultez Étape 4 : Créer un groupe de sécurité VPC.

      • Le VPC doit respecter certaines exigences afin d'héberger des instances de bases de données. Il doit notamment comporter au moins deux sous-réseaux, dans deux zones de disponibilités distinctes. Pour plus d'informations, consultez Amazon VPC et Amazon RDS.

      • Assurez-vous de spécifier un groupe de sous-réseaux DB définissant les sous-réseaux de ce VPC pouvant être utilisés par l'instance de base de données. Pour plus d'informations, consultez la section Groupe de sous-réseau DB de Utilisation d'un(e) instance de base de données dans un VPC.

  • Haute disponibilité : Avez-vous besoin de la prise en charge du basculement ? Sur Amazon RDS, un déploiement multi-AZ crée une instance de base de données principale et une instance de base de données de secours secondaire dans une autre zone de disponibilité pour la prise en charge du basculement. Nous recommandons les déploiements multi-AZ pour les charges de travail de production afin de maintenir une haute disponibilité. À des fins de développement et de test, vous pouvez utiliser un déploiement qui n'est pas multi-AZ. Pour plus d'informations, consultez Déploiements multi-AZ pour une haute disponibilité.

  • Stratégies IAM : votre compte AWS dispose-t-il de stratégies accordant les autorisations nécessaires pour exécuter des opérations Amazon RDS ? Si vous vous connectez à AWS à l'aide d'informations d'identification IAM, votre compte IAM doit disposer de stratégies IAM qui accordent les autorisations requises pour exécuter les opérations Amazon RDS. Pour plus d'informations, consultez Identity and Access Management pour Amazon RDS.

  • Ports ouverts : Sur quel port TCP/IP votre base de données écoute-t-elle ? Dans certaines entreprises, le pare-feu peut bloquer les connexions vers le port par défaut de votre moteur de base de données. Si le pare-feu de votre entreprise bloque le port par défaut, choisissez un autre port pour la nouvelle instance de base de données. Lorsque vous créez une instance de base de données qui écoute sur un port spécifié par vos soins, vous pouvez changer de port en modifiant l'instance de base de données.

  • Région AWS : dans quelle région AWS souhaitez-vous créer votre base de données ? La proximité entre votre base de données et votre application ou le service Web service permet de réduire la latence du réseau. Pour plus d'informations, consultez Régions, zones de disponibilité et zones locales.

  • Sous-système de disque de base de données : quels sont vos besoins en termes de stockage ? Amazon RDS propose trois types de stockages :

    • Magnétique (stockage standard)

    • Usage général (SSD)

    • IOPS provisionnées (PIOPS)

    Le stockage magnétique offre un stockage économique qui convient parfaitement aux applications avec des exigences en termes d'E/S modérées ou émises en rafales. Le stockage à usage général reposant sur SSD, également appelé gp2, fournit un accès plus rapide que le stockage sur disque. Le stockage IOPS provisionnés est conçu pour satisfaire les besoins des charges de travail gourmandes en I/O. En particulier, le stockage IOPS provisionnés est conçu pour les charges de travail de base de données qui sont sensibles aux performances de stockage et à l'homogénéité du débit d'I/O. Pour plus d'informations sur le stockage Amazon RDS, consultez Stockage d'instance de base de données Amazon RDS.

Lorsque vous disposez de toutes les informations nécessaires pour créer le groupe de sécurité et l'instance de base de données, passez à l'étape suivante.

Créer un groupe de sécurité qui autorise l'accès à votre instance de base de données dans votre VPC

Les groupes de sécurité VPC permettent l'accès aux instances de base de données dans un VPC. Ils font office de pare-feu pour l'instance de base de données associée, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance de base de données. Par défaut, les instances de base de données sont créées avec un pare-feu et un groupe de sécurité par défaut protégeant l'instance de base de données.

Avant de pouvoir vous connecter à votre instance de base de données, vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter. Utilisez vos informations réseau et de configuration pour créer les règles autorisant l'accès à votre instance de base de données.

Prenons l'exemple d'une application qui a accès à une base de données sur votre instance de base de données dans un VPC. Dans ce cas, vous devez ajouter une règle TCP personnalisée qui spécifie la plage de ports et les adresses IP utilisées par votre application pour accéder à la base de données. Si vous possédez une application sur une instance Amazon EC2, vous pouvez utiliser le groupe de sécurité qui est configuré pour l'instance Amazon EC2.

Vous pouvez configurer la connectivité entre une instance Amazon EC2 et une instance de base de données lorsque vous créez l'instance de base de données. Pour plus d'informations, consultez Configurer la connectivité réseau automatique avec une instance EC2.

Astuce

Vous pouvez configurer la connectivité réseau entre une instance Amazon EC2 et une instance de base de données automatiquement lorsque vous créez l’instance de base de données. Pour plus d'informations, consultez Configurer la connectivité réseau automatique avec une instance EC2.

Pour plus d'informations sur les scénarios courants d'accès à une instance de base de données, consultez Scénarios d'accès à un(e) instance de base de données d'un VPC.

Pour créer un groupe de sécurité VPC
  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc.

    Note

    Assurez-vous que vous êtes dans la console VPC, et non dans la console RDS.

  2. Dans le coin supérieur droit de la AWS Management Console, sélectionnez la région AWS dans laquelle vous souhaitez créer votre groupe de sécurité de VPC et l'instance de base de données. Dans la liste des ressources Amazon VPC pour cette région AWS, vous devriez voir au moins un VPC et plusieurs sous-réseaux. Si ce n'est pas le cas, cela signifie que vous ne disposez pas de VPC par défaut dans cette région AWS.

  3. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  4. Sélectionnez Create security group (Créer un groupe de sécurité).

    La page Create security group (Créer un groupe de sécurité) s'affiche.

  5. DansBasic details (Détails de base), renseignez les champs Security group name (Nom du groupe de sécurité) et Description. Pour VPC, choisissez le VPC dans lequel vous souhaitez créer votre instance de base de données.

  6. Dans Inbound rules (Règles entrantes), choisissez Add rule (Ajouter une règle).

    1. Pour Type, choisissez Custom TCP (TCP personnalisé).

    2. Pour Port range (Plage de ports), saisissez le numéro du port à utiliser pour votre instance de base de données.

    3. Pour Source, choisissez un nom de groupe de sécurité ou tapez la plage d'adresses IP (valeur CIDR) à partir de laquelle vous accédez à l'instance de base de données. Si vous choisissez Mon IP, l'accès à l'instance de base de données est autorisé à partir de l'adresse IP détectée dans votre navigateur.

  7. Si vous devez ajouter d'autres adresses IP ou des plages de ports différentes, choisissez Add rule (Ajouter une règle) et saisissez les informations relatives à la règle.

  8. (Facultatif) Dans Outbound rules (Règles sortantes), ajoutez des règles pour le trafic sortant. Par défaut, tous les trafics sortant sont autorisés.

  9. Sélectionnez Créer un groupe de sécurité.

Vous pouvez utiliser le groupe de sécurité VPC que vous venez de créer comme groupe de sécurité pour votre instance de base de données lors de sa création.

Note

Si vous utilisez un VPC par défaut, un groupe de sous-réseaux par défaut couvrant l'ensemble des sous-réseaux du VPC a déjà été créé pour vous. Lorsque vous créez une instance de base de données, vous pouvez sélectionner le VPC par défaut et utiliser par défaut en regard de DB Subnet Group (Groupe de sous-réseaux de base de données).

Une fois que vous avez terminé les exigences de configuration, vous pouvez créer une instance de base de données en utilisant votre configuration et votre groupe de sécurité. Pour ce faire, suivez les instructions dans Création d'une instance de base de données Amazon RDS. Pour plus d'informations sur le démarrage en créant une instance de base de données qui utilise un moteur de base de données spécifique, reportez-vous à la documentation pertinente dans le tableau suivant.

Note

Si vous ne parvenez pas à vous connecter à une instance de base de données après l'avoir créée, veuillez consulter les informations de dépannage dans Impossible de se connecter à l'instance de base de données Amazon RDS.