Configuration pour Amazon RDS - Amazon Relational Database Service

Configuration pour Amazon RDS

Avant d'utiliser Amazon Relational Database Service pour la première fois, exécutez les tâches suivantes.

Si vous possédez un compte AWS, connaissez les exigences d'Amazon RDS et préférez utiliser les valeurs par défaut pour les groupes de sécurité IAM et VPC, passez directement à la section Mise en route avec Amazon RDS.

Obtenir un compte Compte AWS et vos informations d'identification d'utilisateur racine

Pour accéder à AWS, vous devez vous inscrire pour obtenir un compte Compte AWS.

Pour s'inscrire à un Compte AWS

  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

AWS vous envoie un e-mail de confirmation lorsque le processus d'inscription est terminé. Vous pouvez afficher l'activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en cliquant sur My Account (Mon compte).

Créer un utilisateur IAM

Si votre compte inclut déjà un utilisateur IAM disposant d'autorisations administratives AWS, vous pouvez ignorer cette section.

Lorsque vous créez un compte Amazon Web Services (AWS) pour la première fois, vous commencez par une identité de connexion unique. Cette identité a un accès complet aux Services AWS et à toutes les ressources du compte. Cette identité est appelée utilisateur racine de compte Compte AWS. Lorsque vous vous connectez, saisissez l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte.

Important

Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services. Pour afficher les tâches qui nécessitent de se connecter en tant qu'utilisateur racine, veuillez consulter Tâches qui requièrent un utilisateur racine.

Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'administrateurs (console)

  1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Root user (Utilisateur racine) et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Note

    Nous vous recommandons vivement de respecter la bonne pratique qui consiste à avoir recours à l'utilisateur IAM Administrator suivant et protéger les informations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur racine pour effectuer certaines tâches de gestion des comptes et des services.

  2. Dans le panneau de navigation, sélectionnez Users (Utilisateurs), puis Add users (Ajouter des utilisateurs).

  3. Dans User name (Nom d'utilisateur), saisissez Administrator.

  4. Cochez la case à côté de AWS Management Console access (Accès à AWS Management Console). Ensuite, sélectionnez Custom password (Mot de passe personnalisé), puis saisissez votre nouveau mot de passe dans la zone de texte.

  5. (Facultatif) Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première connexion. Désélectionnez la case en regard de User must create a new password at next sign in (L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvel utilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

  6. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  7. Sous Set permissions (Définir des autorisations), choisissez Add user to group (Ajouter un utilisateur au groupe).

  8. Choisissez Créer un groupe.

  9. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), saisissez Administrators.

  10. Choisissez Filtrer les polices, puis sélectionnez fonction de tâche gérée par AWS pour filtrer le contenu du tableau.

  11. Dans la liste des politiques, cochez la case AdministratorAccess. Choisissez ensuite Create group (Créer un groupe).

    Note

    Avant de pouvoir utiliser les autorisations AdministratorAccess pour accéder à la console AWS Billing and Cost Management, vous devez activer l'accès du rôle et de l'utilisateur IAM à la facturation. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel sur la délégation de l'accès à la console de facturation.

  12. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refresh (Actualiser) si nécessaire pour afficher le groupe dans la liste.

  13. Choisissez Next: Tags (Suivant : Étiquettes).

  14. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour en savoir plus sur l'utilisation des étiquettes dans IAM, consultez Identification des entités IAM dans le guide de l'utilisateur IAM.

  15. Choisissez Next: Review (Suivant : Vérification) pour afficher la liste des membres du groupe à ajouter au nouvel utilisateur. Une fois que vous êtes prêt à continuer, choisissez Create user (Créer un utilisateur).

Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder à vos utilisateurs l'accès aux ressources de votre Compte AWS. Pour savoir comment utiliser des politiques qui limitent les autorisations d'accès des utilisateurs à des ressources AWS spécifiques, veuillez consulter Gestion des accès et Exemples de politiques.

Connectez-vous en tant qu'utilisateur IAM.

Connectez-vous à la console IAM en choisissant l'utilisateur IAM et en saisissant votre ID ou votre alias de compte Compte AWS. Sur la page suivante, saisissez votre nom d'utilisateur IAM et votre mot de passe.

Note

Pour votre commodité, la page d'ouverture de séance AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Si vous vous êtes déjà connecté avec des informations d'utilisateur différentes, choisissez le lien de connexion situé sous le bouton pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre Compte AWS ID ou votre alias de compte pour être redirigé vers la page de connexion de l'utilisateur IAM pour votre compte.

Création de clés d'accès utilisateur IAM

Les clés d'accès se composent d'un ID de clé d'accès et d'une clé d'accès secrète, qui servent à signer des demandes par programme adressées à AWS. Si vous ne disposez pas des clé d'accès, vous pouvez les créer à partir de l'AWS Management Console. Une bonne pratique consiste à ne pas utiliser de clés d'accès d'utilisateur racine Compte AWS en lien avec des tâches pour l'exécution desquelles elles ne sont pas requises. Au lieu de cela, créez un utilisateur IAM administrateur avec des clés d'accès pour vous-même.

La seule fois où vous pouvez voir ou télécharger la clé d'accès secrète est lors de sa création. Vous pouvez pas la récupérer par la suite. En revanche, vous pouvez créer des clés d'accès à tout moment. Vous devez également disposer d'autorisations pour effectuer les actions IAM requises. Pour plus d'informations, consultez Autorisations requises pour accéder aux ressources IAM dans le Guide de l'utilisateur IAM.

Pour créer des clés d'accès pour un utilisateur IAM

  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez créer les clés d'accès, puis choisissez l'onglet Security credentials (Informations d'identification de sécurité).

  4. Dans la section Access keys (Clés d'accès), choisissez Create access key (Créer une clé d'accès).

  5. Pour afficher la nouvelle clé d'accès, choisissez Show (Afficher). Vous ne pourrez pas accéder à la clé d'accès secrète à nouveau une fois que cette boîte de dialogue se sera fermée. Vos informations d'identification s'afficheront comme suit :

    • ID de clé d'accès : AKIAIOSFODNN7EXAMPLE

    • Clé d'accès secrète : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. Pour télécharger la paire de clés, choisissez Télécharger le fichier .csv. Stockez les clés dans un emplacement sûr. Vous ne pourrez pas accéder à la clé d'accès secrète à nouveau une fois que cette boîte de dialogue se sera fermée.

    Préservez la confidentialité des clés afin de protéger votre Compte AWS et ne les envoyez jamais par e-mail. Ne les divulguez à personne hors de votre entreprise, même si vous recevez une demande qui semble provenir d'AWS ou d'Amazon.com. Aucun véritable représentant d'Amazon ne vous demandera jamais de lui fournir votre clé secrète.

  7. Après avoir téléchargé le fichier .csv, choisissez Close (Fermer). Lorsque vous créez une clé d'accès, la paire de clés est activée par défaut et vous pouvez utiliser la paire immédiatement.

Voir aussi

Déterminer les exigences

La fondation de base d'Amazon RDS est l'instance de base de données. Dans une instance de base de données, vous pouvez créer vos bases de données. Une instance de base de données fournit une adresse réseau appelée point de terminaison. Vos applications utilisent ce point de terminaison pour se connecter à votre instance de base de données. Lorsque vous créez une instance de base de données, vous spécifiez des détails tels que le stockage, la mémoire, le moteur et la version de la base de données, la configuration réseau, la sécurité et les périodes de maintenance. Votre contrôlez l'accès réseau à une instance de base de données via un groupe de sécurité.

Avant de créer une instance de base de données et un groupe de sécurité, vous devez connaître les besoins en termes d'instances de base de données et de réseau. Voici quelques éléments importants à prendre en compte :

  • Exigences en matière de ressources– Quelles sont les exigences de votre application ou de votre service en termes de mémoire et de processeur ? Vous utilisez ces paramètres pour déterminer plus facilement la classe d'instance de base de données à utiliser. Pour obtenir les caractéristiques des classes des instances de bases de données, consultez Classes d'instances de base de données .

  • VPC, sous-réseau et groupe de sécurité– Votre instance de base de données se trouvera le plus probablement dans un Virtual Private Cloud (VPC). Pour vous connecter à votre instance de base de données, vous devez configurer des règles de groupes de sécurité. Ces règles sont configurées différemment selon le type de VPC que vous utilisez et selon la manière dont vous l'utilisez : dans un VPC par défaut ou un VPC défini par l'utilisateur.

    La liste suivante décrit les règles pour chaque option de VPC :

    • VPC par défaut – Si votre compte AWS possède un VPC par défaut dans la région AWS actuelle, ce VPC est configuré pour prendre en charge des instances de base de données. Si vous spécifiez le VPC par défaut lorsque vous créez l'instance de base de données, procédez comme suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service à l'instance de base de données Amazon RDS. Utilisez l'option Security Group (Groupe de sécurité) de la console VPC ou l'AWS CLI pour créer des groupes de sécurité VPC. Pour plus d'informations, consultez Étape 4 : Créer un groupe de sécurité VPC.

      • Spécifiez le groupe de sous-réseaux DB par défaut. S'il s'agit de la première instance de base de données que vous avez créee dans cette région AWS, Amazon RDS créé le groupe de sous-réseau de base de données par défaut au moment de la création de l'instance de base de données.

    • VPC défini par l'utilisateur– Si vous souhaitez spécifier un VPC défini par l'utilisateur lorsque vous créez une instance de base de données, tenez compte de ce qui suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service à l'instance de base de données Amazon RDS. Utilisez l'option Security Group (Groupe de sécurité) de la console VPC ou l'AWS CLI pour créer des groupes de sécurité VPC. Pour plus d'informations, consultez Étape 4 : Créer un groupe de sécurité VPC.

      • Le VPC doit respecter certaines exigences afin d'héberger des instances de bases de données. Il doit notamment comporter au moins deux sous-réseaux, dans deux zones de disponibilités distinctes. Pour plus d'informations, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

      • Assurez-vous de spécifier un groupe de sous-réseaux DB définissant les sous-réseaux de ce VPC pouvant être utilisés par l'instance de base de données. Pour plus d'informations, consultez la section Groupe de sous-réseau DB de Utilisation d'une instance de base de données dans un VPC.

      Note

      Certains comptes hérités n'utilisent pas de VPC. Si vous accédez à une nouvelle région AWS ou que vous êtes un nouvel utilisateur de RDS (après 2013), vous allez plus probablement créer une instance de base de données au sein d'un VPC. Pour plus d'informations, consultez Déterminer si vous utilisez une plateforme EC2-VPC ou EC2-Classic.

  • Haute disponibilité : Avez-vous besoin de la prise en charge du basculement ? Sur Amazon RDS, un déploiement multi-AZ crée une instance de base de données principale et une instance de base de données de secours secondaire dans une autre zone de disponibilité pour la prise en charge du basculement. Nous recommandons les déploiements multi-AZ pour les charges de travail de production afin de maintenir une haute disponibilité. À des fins de développement et de test, vous pouvez utiliser un déploiement qui n'est pas multi-AZ. Pour plus d'informations, consultez Déploiements multi-AZ pour une haute disponibilité.

  • Stratégies IAM : votre compte AWS dispose-t-il de stratégies accordant les autorisations nécessaires pour exécuter des opérations Amazon RDS ? Si vous vous connectez à AWS à l'aide d'informations d'identification IAM, votre compte IAM doit disposer de stratégies IAM qui accordent les autorisations requises pour exécuter les opérations Amazon RDS. Pour plus d'informations, consultez Identity and Access Management dans Amazon RDS.

  • Ports ouverts : Sur quel port TCP/IP votre base de données écoute-t-elle ? Dans certaines entreprises, le pare-feu peut bloquer les connexions vers le port par défaut de votre moteur de base de données. Si le pare-feu de votre entreprise bloque le port par défaut, choisissez un autre port pour la nouvelle instance de base de données. Lorsque vous créez une instance de base de données qui écoute sur un port spécifié par vos soins, vous pouvez changer de port en modifiant l'instance de base de données.

  • Région AWS : dans quelle région AWS souhaitez-vous créer votre base de données ? La proximité entre votre base de données et votre application ou le service Web service permet de réduire la latence du réseau. Pour plus d'informations, consultez Régions, zones de disponibilité et zones locales.

  • Sous-système de disque de base de données : quels sont vos besoins en termes de stockage ? Amazon RDS propose trois types de stockages :

    • Magnétique (stockage standard)

    • Usage général (SSD)

    • IOPS provisionnées (PIOPS)

    Le stockage magnétique offre un stockage économique qui convient parfaitement aux applications avec des exigences en termes d'E/S modérées ou émises en rafales. Le stockage à usage général reposant sur SSD, également appelé gp2, fournit un accès plus rapide que le stockage sur disque. Le stockage IOPS provisionnées est conçu pour satisfaire les besoins des charges de travail gourmandes en E/S, notamment les charges de travail de base de données qui sont sensibles aux performances de stockage et à l'homogénéité du débit d'E/S. Pour plus d'informations sur le stockage Amazon RDS, consultez Stockage d'instance de base de données Amazon RDS.

Lorsque vous disposez de toutes les informations nécessaires pour créer le groupe de sécurité et l'instance de base de données, passez à l'étape suivante.

Créer un groupe de sécurité qui autorise l'accès à votre instance de base de données dans votre VPC

Les groupes de sécurité VPC permettent l'accès aux instances de base de données dans un VPC. Ils font office de pare-feu pour l'instance de base de données associée, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance de base de données. Par défaut, les instances de base de données sont créées avec un pare-feu et un groupe de sécurité par défaut protégeant l'instance de base de données.

Avant de pouvoir vous connecter à votre instance de base de données, vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter. Utilisez vos informations réseau et de configuration pour créer les règles autorisant l'accès à votre instance de base de données.

Prenons l'exemple d'une application qui a accès à une base de données sur votre instance de base de données dans un VPC. Dans ce cas, vous devez ajouter une règle TCP personnalisée qui spécifie la plage de ports et les adresses IP utilisées par votre application pour accéder à la base de données. Si vous possédez une application sur une instance Amazon EC2, vous pouvez utiliser le groupe de sécurité qui est configuré pour l'instance Amazon EC2.

Pour plus d'informations sur les scénarios courants d'accès à une instance de base de données, consultez Scénarios d'accès à une instance de base de données d'un VPC.

Pour créer un groupe de sécurité VPC

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc.

    Note

    Assurez-vous que vous êtes dans la console VPC, et non dans la console RDS.

  2. Dans le coin supérieur droit de la AWS Management Console, sélectionnez la région AWS dans laquelle vous souhaitez créer votre groupe de sécurité VPC et l'instance de base de données. Dans la liste des ressources Amazon VPC pour cette région AWS, vous devriez voir au moins un VPC et plusieurs sous-réseaux. Si ce n'est pas le cas, cela signifie que vous ne disposez pas de VPC par défaut dans cette région AWS.

  3. Dans le panneau de navigation, sélectionnez Groupes de sécurité.

  4. Sélectionnez Créer un groupe de sécurité.

    La page Create security group (Créer un groupe de sécurité) s'affiche.

  5. DansBasic details (Détails de base), renseignez les champs Security group name (Nom du groupe de sécurité) et Description. Pour VPC, choisissez le VPC dans lequel vous souhaitez créer votre instance de base de données.

  6. Dans Inbound rules (Règles entrantes), choisissez Add rule (Ajouter une règle).

    1. Pour Type, choisissez Custom TCP (TCP personnalisé).

    2. Pour Port range (Plage de ports), saisissez le numéro du port à utiliser pour votre instance de base de données.

    3. Pour Source, choisissez un nom de groupe de sécurité ou tapez la plage d'adresses IP (valeur CIDR) à partir de laquelle vous accédez à l'instance de base de données. Si vous choisissez Mon IP, l'accès à l'instance de base de données est autorisé à partir de l'adresse IP détectée dans votre navigateur.

  7. Si vous devez ajouter d'autres adresses IP ou des plages de ports différentes, choisissez Add rule (Ajouter une règle) et saisissez les informations relatives à la règle.

  8. (Facultatif) Dans Outbound rules (Règles sortantes), ajoutez des règles pour le trafic sortant. Par défaut, tous les trafics sortant sont autorisés.

  9. Sélectionnez Créer un groupe de sécurité.

Vous pouvez utiliser le groupe de sécurité VPC que vous venez de créer comme groupe de sécurité pour votre instance de base de données lors de sa création.

Note

Si vous utilisez un VPC par défaut, un groupe de sous-réseaux par défaut couvrant l'ensemble des sous-réseaux du VPC a déjà été créé pour vous. Lorsque vous créez une instance de base de données, vous pouvez sélectionner le VPC par défaut et utiliser par défaut en regard de DB Subnet Group (Groupe de sous-réseaux de base de données).

Une fois que vous avez terminé la configuration requise, vous pouvez créer une instance de base de données en utilisant votre configuration et votre groupe de sécurité en suivant les instructions de la section Création d'une instance de base de données Amazon RDS. Pour plus d'informations sur le démarrage en créant une instance de base de données qui utilise un moteur de base de données spécifique, reportez-vous à la documentation pertinente dans le tableau suivant.

Note

Si vous ne parvenez pas à vous connecter à une instance de base de données après l'avoir créée, veuillez consulter les informations de dépannage dans Impossible de se connecter à l'instance de base de données Amazon RDS.