Configuration pour Amazon RDS - Amazon Relational Database Service

Configuration pour Amazon RDS

Avant d'utiliser Amazon Relational Database Service pour la première fois, exécutez les tâches suivantes :

Si vous possédez un compte AWS, connaissez les exigences d'Amazon RDS et préférez utiliser les valeurs par défaut pour les groupes de sécurité IAM et VPC, passez directement à la section Mise en route avec Amazon RDS.

Inscrivez-vous à AWS

Lorsque vous vous inscrivez à AWS, votre compte AWS est automatiquement inscrit à tous les services AWS, dont Amazon RDS. Seuls les services que vous utilisez vous sont facturés.

Avec Amazon RDS, vous ne payez que les ressources que vous utilisez. Les instances de base de données Amazon RDS que vous créez sont en ligne (elles ne s'exécutent pas dans un environnement de test (sandbox)). Vous devez payer les frais d'utilisation standard de Amazon RDS pour chaque instance de base de données jusqu'à ce que vous la mettiez hors service. Pour plus d'informations sur les tarifs d'utilisation relatifs à Amazon RDS, consultez la page de présentation du produit Amazon RDS. Si vous êtes un nouveau client AWS, vous pouvez commencer à utiliser Amazon RDS gratuitement. Pour plus d'informations, consultez Offre gratuite AWS.

Si vous possédez déjà un compte AWS, passez à la section suivante : Création d'un utilisateur IAM.

Si vous n'avez pas de compte AWS, procédez comme suit pour en créer un.

Créer un compte AWS

  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

Notez votre numéro de compte AWS, car vous en aurez besoin lors de la prochaine tâche.

Création d'un utilisateur IAM

Après avoir créé un compte AWS et vous être connecté à l'AWS Management Console, vous pouvez créer un utilisateur AWS Identity and Access Management (IAM). Au lieu de vous connecter avec votre compte racine AWS, nous vous recommandons d'utiliser un utilisateur administratif IAM avec Amazon RDS.

Pour cela, vous pouvez créer un nouvel utilisateur IAM et lui accorder des autorisations d'administrateur. Vous pouvez aussi utiliser un utilisateur IAM existant à un groupe IAM avec les autorisations administratives Amazon RDS. Vous pouvez ensuite accéder à AWS à partir d'une URL spéciale en utilisant les informations d'identification de l'utilisateur IAM.

Si vous êtes inscrit à AWS, mais n'avez pas créé d'utilisateur IAM pour vous-même, vous pouvez le faire avec la console IAM.

Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'administrateurs (console)

  1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Root user (Utilisateur racine) et en saisissant l'adresse e-mail de votre Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Note

    Nous vous recommandons vivement de respecter la bonne pratique qui consiste à avoir recours à l'utilisateur IAM Administrator suivant et protéger les informations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur racine pour effectuer certaines tâches de gestion des comptes et des services.

  2. Dans le panneau de navigation, choisissez Utilisateurs, puis Add user (Ajouter un utilisateur).

  3. Dans User name (Nom d'utilisateur), entrez Administrator.

  4. Cochez la case à côté de AWS Management Console access (accès à la console). Puis, sélectionnez Custom password (Mot de passe personnalisé, et entrez votre nouveau mot de passe dans la zone de texte.

  5. (Facultatif) Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première connexion. Décochez la case en regard de User must create a new password at next sign-in (L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvel utilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

  6. Sélectionnez Étape suivante : autorisations.

  7. Sous Set permissions (Accorder des autorisations), choisissez Add user to group (Ajouter un utilisateur au groupe).

  8. Choisissez Create group.

  9. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), tapez Administrators.

  10. Choisissez Filter policies (Filtrer les stratégies), puis sélectionnez AWSmanaged - job function (fonction de tâche gérée par AWS) pour filtrer le contenu de la table.

  11. Dans la liste des stratégies, cochez la case AdministratorAccess. Choisissez ensuite Create group.

    Note

    Avant de pouvoir utiliser les autorisations AdministratorAccess pour accéder à la console AWS Billing and Cost Management, vous devez activer l'accès du rôle et de l'utilisateur IAM à la facturation. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant sur comment déléguer l'accès à la console de facturation.

  12. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refresh si nécessaire pour afficher le groupe dans la liste.

  13. Choisissez Next: Tags (Suivant : Balises).

  14. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour de plus amples informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des utilisateurs et des rôles IAM dans le Guide de l'utilisateur IAM.

  15. Choisissez Next: Review pour afficher la liste des membres du groupe à ajouter au nouvel utilisateur. Une fois que vous êtes prêt à continuer, choisissez Create user.

Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder à vos utilisateurs l'accès aux ressources de votre Compte AWS. Pour savoir comment utiliser des stratégies qui limitent les autorisations d'accès des utilisateurs à des ressources AWS spécifiques, veuillez consulter Gestion des accès et Exemples de stratégies.

Pour vous connecter en utilisant l'identité du nouvel utilisateur IAM, vous devez d'abord vous déconnecter de la l'AWS Management Console. Utilisez ensuite l'URL suivante, où votre_id_compte_aws est votre numéro de compte AWS sans les tirets. Par exemple, si votre numéro de compte AWS est 1234-5678-9012, votre ID de compte AWS est 123456789012 :

https://your_aws_account_id.signin.aws.amazon.com/console/

Saisissez le nom utilisateur et le mot de passe IAM que vous venez de créer. Lorsque vous êtes connecté, la barre de navigation affiche « votre_nom_utilisateur @ votre_id_de_compte_aws ».

Si vous ne voulez pas que l'URL de votre page de connexion contienne votre ID de compte AWS, vous pouvez créer un alias de compte. Depuis le tableau de bord IAM, sélectionnez Customize (Personnaliser) et saisissez un alias, par exemple le nom de votre société. Pour vous connecter après avoir créé un alias de compte, utilisez l'URL suivante.

https://your_account_alias.signin.aws.amazon.com/console/

Pour contrôler le lien de connexion des utilisateurs IAM de votre compte, ouvrez la console IAM et vérifiez le contenu du champ AWS Account Alias (alias de compte AWS) sur le tableau de bord.

Vous pouvez également créer des clés d'accès pour votre compte AWS. Vous pouvez utiliser ces clés d'accès pour accéder à AWS via l'AWS Command Line Interface (AWS CLI) ou l'API Amazon RDS. Pour de plus amples informations, veuillez consulter Accès par programme, Installation, mise à jour et désinstallation de l'AWS CLI et Référence de l'API Amazon RDS.

Déterminer les exigences

La fondation de base d'Amazon RDS est l'instance de base de données. Dans une instance de base de données, vous pouvez créer vos bases de données. Une instance de base de données fournit une adresse réseau appelée point de terminaison. Vos applications utilisent ce point de terminaison pour se connecter à votre instance de base de données. Lorsque vous créez une instance de base de données, vous spécifiez des détails tels que le stockage, la mémoire, le moteur et la version de la base de données, la configuration réseau, la sécurité et les périodes de maintenance. Votre contrôlez l'accès réseau à une instance de base de données via un groupe de sécurité.

Avant de créer une instance de base de données et un groupe de sécurité, vous devez connaître les besoins en termes d'instances de base de données et de réseau. Voici quelques éléments importants à prendre en compte :

  • Exigences en matière de ressources– Quelles sont les exigences de votre application ou de votre service en termes de mémoire et de processeur ? Vous utilisez ces paramètres pour déterminer plus facilement la classe d'instance de base de données à utiliser. Pour obtenir les caractéristiques des classes des instances de bases de données, consultez Classes d'instances de base de données .

  • VPC, sous-réseau et groupe de sécurité– Votre instance de base de données se trouvera le plus probablement dans un Virtual Private Cloud (VPC). Pour vous connecter à votre instance de base de données, vous devez configurer des règles de groupes de sécurité. Ces règles sont configurées différemment selon le type de VPC que vous utilisez et selon la manière dont vous l'utilisez : dans un VPC par défaut ou un VPC défini par l'utilisateur.

    La liste suivante décrit les règles pour chaque option de VPC :

    • VPC par défaut – Si votre compte AWS possède un VPC par défaut dans la région AWS actuelle, ce VPC est configuré pour prendre en charge des instances de base de données. Si vous spécifiez le VPC par défaut lorsque vous créez l'instance de base de données, procédez comme suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service à l'instance de base de données Amazon RDS. Utilisez l'option Security Group (Groupe de sécurité) de la console VPC ou l'AWS CLI pour créer des groupes de sécurité VPC. Pour plus d'informations, consultez Étape 4 : Créer un groupe de sécurité VPC.

      • Spécifiez le groupe de sous-réseaux DB par défaut. S'il s'agit de la première instance de base de données que vous avez créee dans cette région AWS, Amazon RDS créé le groupe de sous-réseau de base de données par défaut au moment de la création de l'instance de base de données.

    • VPC défini par l'utilisateur– Si vous souhaitez spécifier un VPC défini par l'utilisateur lorsque vous créez une instance de base de données, tenez compte de ce qui suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service à l'instance de base de données Amazon RDS. Utilisez l'option Security Group (Groupe de sécurité) de la console VPC ou l'AWS CLI pour créer des groupes de sécurité VPC. Pour plus d'informations, consultez Étape 4 : Créer un groupe de sécurité VPC.

      • Le VPC doit respecter certaines exigences afin d'héberger des instances de bases de données. Il doit notamment comporter au moins deux sous-réseaux, dans deux zones de disponibilités distinctes. Pour plus d'informations, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

      • Assurez-vous de spécifier un groupe de sous-réseaux DB définissant les sous-réseaux de ce VPC pouvant être utilisés par l'instance de base de données. Pour plus d'informations, consultez la section Groupe de sous-réseau DB de Utilisation d'une instance de base de données dans un VPC.

      Note

      Certains comptes hérités n'utilisent pas de VPC. Si vous accédez à une nouvelle région AWS ou que vous êtes un nouvel utilisateur de RDS (après 2013), vous allez plus probablement créer une instance de base de données au sein d'un VPC. Pour plus d'informations, consultez Déterminer si vous utilisez une plateforme EC2-VPC ou EC2-Classic.

  • Haute disponibilité : Avez-vous besoin de la prise en charge du basculement ? Sur Amazon RDS, un déploiement multi-AZ crée une instance de base de données principale et une instance de base de données de secours secondaire dans une autre zone de disponibilité pour la prise en charge du basculement. Nous recommandons les déploiements multi-AZ pour les charges de travail de production afin de maintenir une haute disponibilité. À des fins de développement et de test, vous pouvez utiliser un déploiement qui n'est pas multi-AZ. Pour plus d'informations, consultez Déploiements multi-AZ pour une haute disponibilité.

  • Stratégies IAM : votre compte AWS dispose-t-il de stratégies accordant les autorisations nécessaires pour exécuter des opérations Amazon RDS ? Si vous vous connectez à AWS à l'aide d'informations d'identification IAM, votre compte IAM doit disposer de stratégies IAM qui accordent les autorisations requises pour exécuter les opérations Amazon RDS. Pour plus d'informations, consultez Identity and Access Management dans Amazon RDS.

  • Ports ouverts : Sur quel port TCP/IP votre base de données écoute-t-elle ? Dans certaines entreprises, le pare-feu peut bloquer les connexions vers le port par défaut de votre moteur de base de données. Si le pare-feu de votre entreprise bloque le port par défaut, choisissez un autre port pour la nouvelle instance de base de données. Lorsque vous créez une instance de base de données qui écoute sur un port spécifié par vos soins, vous pouvez changer de port en modifiant l'instance de base de données.

  • Région AWS : dans quelle région AWS souhaitez-vous créer votre base de données ? La proximité entre votre base de données et votre application ou le service Web service permet de réduire la latence du réseau. Pour plus d'informations, consultez Régions, zones de disponibilité et zones locales.

  • Sous-système de disque de base de données : quels sont vos besoins en termes de stockage ? Amazon RDS propose trois types de stockages :

    • Magnétique (stockage standard)

    • Usage général (SSD)

    • IOPS provisionnées (PIOPS)

    Le stockage magnétique offre un stockage économique qui convient parfaitement aux applications avec des exigences en termes d'E/S modérées ou émises en rafales. Le stockage à usage général reposant sur SSD, également appelé gp2, fournit un accès plus rapide que le stockage sur disque. Le stockage IOPS provisionnées est conçu pour satisfaire les besoins des charges de travail gourmandes en E/S, notamment les charges de travail de base de données qui sont sensibles aux performances de stockage et à l'homogénéité du débit d'E/S. Pour plus d'informations sur le stockage Amazon RDS, consultez Stockage d'instance de base de données Amazon RDS.

Lorsque vous disposez de toutes les informations nécessaires pour créer le groupe de sécurité et l'instance de base de données, passez à l'étape suivante.

Créer un groupe de sécurité qui autorise l'accès à votre instance de base de données dans votre VPC

Les groupes de sécurité VPC permettent l'accès aux instances de base de données dans un VPC. Ils font office de pare-feu pour l'instance de base de données associée, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance de base de données. Par défaut, les instances de base de données sont créées avec un pare-feu et un groupe de sécurité par défaut protégeant l'instance de base de données.

Avant de pouvoir vous connecter à votre instance de base de données, vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter. Utilisez vos informations réseau et de configuration pour créer les règles autorisant l'accès à votre instance de base de données.

Prenons l'exemple d'une application qui a accès à une base de données sur votre instance de base de données dans un VPC. Dans ce cas, vous devez ajouter une règle TCP personnalisée qui spécifie la plage de ports et les adresses IP utilisées par votre application pour accéder à la base de données. Si vous possédez une application sur une instance Amazon EC2, vous pouvez utiliser le groupe de sécurité qui est configuré pour l'instance Amazon EC2.

Pour plus d'informations sur les scénarios courants d'accès à une instance de base de données, consultez Scénarios d'accès à une instance de base de données d'un VPC.

Pour créer un groupe de sécurité VPC

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc.

    Note

    Assurez-vous que vous êtes dans la console VPC, et non dans la console RDS.

  2. Dans le coin supérieur droit de la AWS Management Console, sélectionnez la région AWS dans laquelle vous souhaitez créer votre groupe de sécurité VPC et l'instance de base de données. Dans la liste des ressources Amazon VPC pour cette région AWS, vous devriez voir au moins un VPC et plusieurs sous-réseaux. Si ce n'est pas le cas, cela signifie que vous ne disposez pas de VPC par défaut dans cette région AWS.

  3. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  4. Sélectionnez Créer un groupe de sécurité.

    La page Create security group (Créer un groupe de sécurité) s'affiche.

  5. DansBasic details (Détails de base), renseignez les champs Security group name (Nom du groupe de sécurité) et Description. Pour VPC, choisissez le VPC dans lequel vous souhaitez créer votre instance de base de données.

  6. Dans Inbound rules (Règles entrantes), choisissez Add rule (Ajouter une règle).

    1. Pour Type, choisissez Custom TCP (TCP personnalisé).

    2. Pour Port range (Plage de ports), saisissez le numéro du port à utiliser pour votre instance de base de données.

    3. Pour Source, choisissez un nom de groupe de sécurité ou tapez la plage d'adresses IP (valeur CIDR) à partir de laquelle vous accédez à l'instance de base de données. Si vous choisissez Mon IP, l'accès à l'instance de base de données est autorisé à partir de l'adresse IP détectée dans votre navigateur.

  7. Si vous devez ajouter d'autres adresses IP ou des plages de ports différentes, choisissez Add rule (Ajouter une règle) et saisissez les informations relatives à la règle.

  8. (Facultatif) Dans Outbound rules (Règles sortantes), ajoutez des règles pour le trafic sortant. Par défaut, tous les trafics sortant sont autorisés.

  9. Sélectionnez Créer un groupe de sécurité.

Vous pouvez utiliser le groupe de sécurité VPC que vous venez de créer comme groupe de sécurité pour votre instance de base de données lors de sa création.

Note

Si vous utilisez un VPC par défaut, un groupe de sous-réseaux par défaut couvrant l'ensemble des sous-réseaux du VPC a déjà été créé pour vous. Lorsque vous créez une instance de base de données, vous pouvez sélectionner le VPC par défaut et utiliser par défaut en regard de DB Subnet Group (Groupe de sous-réseaux de base de données).

Une fois que vous avez terminé la configuration requise, vous pouvez créer une instance de base de données en utilisant votre configuration et votre groupe de sécurité en suivant les instructions de la section Création d'une instance de base de données Amazon RDS. Pour plus d'informations sur le démarrage en créant une instance de base de données qui utilise un moteur de base de données spécifique, reportez-vous à la documentation pertinente dans le tableau suivant.

Note

Si vous ne parvenez pas à vous connecter à une instance de base de données après l'avoir créée, veuillez consulter les informations de dépannage dans Impossible de se connecter à l'instance de base de données Amazon RDS.