Amazon Relational Database Service
Guide de l'utilisateur

Configuration pour Amazon RDS

Vous trouverez ci-après des informations détaillées concernant la configuration initiale de Amazon Relational Database Service (Amazon RDS). Si vous possédez déjà un compte AWS, que vous connaissez déjà les exigences de Amazon RDS et que vous préférez utiliser toutes les valeurs par défaut pour les groupes de sécurité IAM et VPC, vous pouvez passer directement à Mise en route.

Ce que vous devez savoir sur Amazon Web Services (AWS) :

  • Lorsque vous vous inscrivez à AWS, votre compte AWS a automatiquement accès à tous les services AWS, y compris Amazon RDS. Toutefois, seuls les services que vous utilisez vous sont facturés.

  • Avec Amazon RDS, vous ne payez que pour les instances RDS qui sont actives. L'instance de base de données Amazon RDS que vous créez est en ligne (elle ne s'exécute pas dans un environnement de test (sandbox)). Vous devez payer les frais d'utilisation standard d'Amazon RDS pour l'instance jusqu'à ce que vous la mettiez hors service. Pour plus d'informations sur les tarifs d'utilisation relatifs à Amazon RDS, consultez la page de présentation du produit Amazon RDS.

Inscrivez-vous à AWS

Si vous possédez déjà un compte AWS, passez à la section suivante : Créer un utilisateur IAM.

Si tel n'est pas le cas, utilisez la procédure suivante pour en créer un. Si vous êtes un nouveau client AWS, vous pouvez démarrer gratuitement avec Amazon RDS. Pour plus d'informations, consultez Niveau d'offre gratuite AWS.

Pour créer un nouveau compte AWS

  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

Créer un utilisateur IAM

Après que vous avez créé un compte AWS et que vous vous êtes connecté à la AWS Management Console, vous pouvez créer un utilisateur AWS Identity and Access Management (IAM). Au lieu de vous connecter avec votre compte racine AWS, nous vous recommandons d'utiliser un utilisateur administratif IAM avec Amazon RDS.

Pour cela, vous pouvez créer un nouvel utilisateur IAM et lui accorder des autorisations d'administrateur. Vous pouvez aussi utiliser un utilisateur IAM existant à un groupe IAM avec les autorisations administratives Amazon RDS. Vous pouvez alors accéder à AWS depuis une URL spéciale à l'aide des informations d'identification de l'utilisateur IAM.

Si vous êtes inscrit à AWS, mais que vous n'avez pas créé d'utilisateur IAM pour vous-même, vous pouvez le faire avec la console IAM.

Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'administrateurs (console)

  1. Utilisez l'adresse e-mail et le mot de passe de votre compte AWS pour vous connecter en tant qu'Utilisateur racine d'un compte AWS à la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    Note

    Nous vous recommandons vivement de respecter la bonne pratique qui consiste à avoir recours à l'utilisateur Administrator IAM ci-dessous et à mettre en sécurité les informations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur racine pour effectuer certaines tâches de gestion des comptes et des services.

  2. Dans le panneau de navigation, choisissez Utilisateurs, puis Add user (Ajouter un utilisateur).

  3. Dans User name (Nom d'utilisateur), entrez Administrator.

  4. Cochez la case en regard de AWS Management Console access. Puis, sélectionnez Custom password (Mot de passe personnalisé, et entrez votre nouveau mot de passe dans la zone de texte.

  5. Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première connexion. Décochez la case en regard de User must create a new password at next sign-in (L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvel utilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

  6. Choisissez Next: Permissions (Suivant : Autorisations).

  7. Sous Set permissions (Accorder des autorisations), choisissez Add user to group (Ajouter un utilisateur au groupe).

  8. Choisissez Create group.

  9. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), tapez Administrators.

  10. Choisissez Filter policies (Filtrer les stratégies), puis sélectionnez AWS managed -job function (Fonction -job gérée par) pour filtrer le contenu de la table.

  11. Dans la liste des stratégies, cochez la case AdministratorAccess. Choisissez ensuite Create group.

    Note

    Vous devez activer l'accès des rôles et utilisateurs IAM à la facturation avant de pouvoir utiliser les autorisations AdministratorAccess pour accéder à la console AWS Billing and Cost Management. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant sur comment déléguer l'accès à la console de facturation.

  12. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refresh si nécessaire pour afficher le groupe dans la liste.

  13. Choisissez Next: Tags (Suivant : Balises).

  14. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez Balisage des entités IAM dans le IAM Guide de l'utilisateur.

  15. Choisissez Next: Review pour afficher la liste des membres du groupe à ajouter au nouvel utilisateur. Une fois que vous êtes prêt à continuer, choisissez Create user.

Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder à vos utilisateurs l'accès aux ressources de votre compte AWS. Pour en savoir plus sur l'utilisation des stratégies afin de limiter les autorisations d'accès des utilisateurs à certaines ressources AWS, consultez Gestion des accès et Exemples de stratégies.

Pour vous connecter avec les identifiants de ce nouvel utilisateur IAM, vous devez d'abord vous déconnecter de la AWS Management Console. Utilisez ensuite l'URL suivante, où votre_id_compte_aws est votre numéro de compte AWS sans les tirets. Par exemple, si votre numéro de compte AWS est 1234-5678-9012, votre ID de compte AWS est 123456789012.

https://your_aws_account_id.signin.aws.amazon.com/console/

Saisissez le nom utilisateur et le mot de passe IAM que vous venez de créer. Lorsque vous êtes connecté, la barre de navigation affiche « votre_nom_utilisateur @ votre_id_de_compte_aws ».

Si vous ne voulez pas que l'URL de votre page de connexion contienne votre ID de compte AWS, vous pouvez créer un alias de compte. Depuis le tableau de bord IAM, sélectionnez Customize (Personnaliser) et saisissez un alias, par exemple le nom de votre société. Pour vous connecter après avoir créé un alias de compte, utilisez l'URL suivante.

https://your_account_alias.signin.aws.amazon.com/console/

Pour contrôler le lien de connexion des utilisateurs IAM de votre compte, ouvrez la console IAM et vérifiez le lien sous AWS Account Alias sur le tableau de bord.

Vous pouvez également créer des clés d'accès pour votre compte AWS. Vous pouvez ensuite utiliser ces clés d'accès pour accéder à AWS via l'AWS Command Line Interface (AWS CLI) ou via l'API Amazon RDS. Pour plus d'informations, consultez Gestion des clés d'accès à votre compte AWS, Installation de l'Interface de Ligne de Commande AWS et Référence des API RDS.

Déterminer les exigences

La fondation de base d'Amazon RDS est l'instance de base de données. Dans une instance de base de données, vous pouvez créer vos bases de données. Une instance de base de données fournit une adresse réseau appelée point de terminaison. Vos applications utilisent ce point de terminaison pour se connecter à votre instance de base de données. Lorsque vous créez une instance de base de données, vous spécifiez des détails tels que le stockage, la mémoire, le moteur et la version de la base de données, la configuration réseau, la sécurité et les périodes de maintenance. Votre contrôlez l'accès réseau à une instance de base de données via un groupe de sécurité.

Avant de créer une instance de base de données et un groupe de sécurité, vous devez connaître les besoins en termes d'instances de base de données et de réseau. Voici quelques éléments importants à prendre en compte :

  • Exigences en matière de ressources– Quelles sont les exigences de votre application ou de votre service en termes de mémoire et de processeur ? Vous utilisez ces paramètres pour déterminer plus facilement la classe d'instance de base de données à utiliser. Pour obtenir les caractéristiques des classes des instances de bases de données, consultez Choix de la classe d'instance de base de données.

  • VPC, sous-réseau et groupe de sécurité– Votre instance de base de données se trouve le plus probablement dans un cloud privé virtuel (VPC). Pour vous connecter à votre instance de base de données, vous devez configurer des règles de groupes de sécurité. Ces règles sont configurées différemment selon le type de VPC que vous utilisez : VPC et comment vous l'utilisez dans un VPC par défaut, un VPC défini par l'utilisateur ou en dehors d'un VPC.

    Note

    Certains comptes hérités n'utilisent pas de VPC. Si vous accédez à une nouvelle région AWS ou que vous êtes un nouvel utilisateur de RDS (après 2013), vous allez plus probablement créer une instance de base de données au sein d'un VPC.

    Pour savoir comment déterminer si votre compte possède un VPC par défaut dans une région AWS particulière, consultez Déterminer si vous utilisez une plateforme EC2-VPC ou EC2-Classic.

    La liste suivante décrit les règles pour chaque option de VPC :

    • VPC par défaut – Si votre compte AWS possède un VPC par défaut dans la région AWS actuelle, ce VPC est configuré pour prendre en charge des instances de bases de données. Si vous spécifiez le VPC par défaut lorsque vous créez l'instance de base de données, procédez comme suit :

      • Créez un groupe de sécurité VPC autorisant les connexions de l'application ou du service à l'instance de base de données Amazon RDS contenant la base de données. Utilisez l'option API Amazon EC2 ou l'option Groupe de sécurité de la console VPC pour créer des groupes de sécurité VPC. Pour plus d'informations, consultez Étape 4 : Créer un groupe de sécurité VPC.

      • Spécifiez le groupe de sous-réseaux DB par défaut. S'il s'agit de la première instance de base de données que vous créez dans cette région AWS, Amazon RDS créé le groupe de sous-réseau DB par défaut au moment de la création de l'instance de base de données.

    • VPC défini par l'utilisateur– Si vous souhaitez spécifier un VPC défini par l'utilisateur lorsque vous créez une instance de base de données, tenez compte de ce qui suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service à l'instance de base de données Amazon RDS contenant la base de données. Utilisez l'option API Amazon EC2 ou l'option Groupe de sécurité de la console VPC pour créer des groupes de sécurité VPC. Pour plus d'informations, consultez Étape 4 : Créer un groupe de sécurité VPC.

      • Le VPC doit respecter certaines exigences afin d'héberger des instances de bases de données. Il doit notamment comporter au moins deux sous-réseaux, dans deux zones de disponibilités distinctes. Pour plus d'informations, consultez VPC Amazon Virtual Private Cloud et Amazon RDS.

      • Assurez-vous de spécifier un groupe de sous-réseaux DB définissant les sous-réseaux de ce VPC pouvant être utilisés par l'instance de base de données. Pour plus d'informations, consultez la section Groupe de sous-réseau DB de Utilisation d'une instance de base de données dans un VPC.

    • Aucun VPC – Si votre compte AWS ne possède pas de VPC par défaut et que vous ne spécifiez pas de VPC défini par l'utilisateur, créez un groupe de sécurité de base de données. Un groupe de sécurité de base de données autorise les connexions à partir d'appareils et d'instances Amazon RDS exécutant les applications ou les utilitaires qui accèdent aux bases de données dans l'instance de base de données. Pour plus d'informations, consultez Utilisation des groupes de sécurité DB (plateforme EC2-Classic).

  • Haute disponibilité : Avez-vous besoin de la prise en charge du basculement ? Sur Amazon RDS, un déploiement multi-AZ crée une instance de base de données principale et une instance de base de données de secours secondaire dans une autre zone de disponibilité pour la prise en charge du basculement. Nous recommandons les déploiements multi-AZ pour les charges de travail de production afin de maintenir une haute disponibilité. À des fins de développement et de test, vous pouvez utiliser un déploiement qui n'est pas multi-AZ. Pour plus d'informations, consultez Haute disponibilité (multi-AZ) pour Amazon RDS.

  • Stratégies IAM : Votre compte AWS comporte-t-il des stratégies accordant les autorisations nécessaires pour exécuter les opérations Amazon RDS ? Si vous vous connectez à AWS à l'aide des informations d'identification IAM, votre compte IAM doit disposer des stratégies IAM qui accordent les autorisations requises pour exécuter les opérations Amazon RDS. Pour plus d'informations, consultez Gestion des identités et des accès dans Amazon RDS.

  • Ports ouverts : Sur quel port TCP/IP votre base de données écoute-t-elle ? Dans certaines entreprises, le pare-feu peut bloquer les connexions vers le port par défaut de votre moteur de base de données. Si le pare-feu de votre entreprise bloque le port par défaut, choisissez un autre port pour la nouvelle instance de base de données. Lorsque vous créez une instance de base de données qui écoute sur un port spécifié par vos soins, vous pouvez changer de port en modifiant l'instance de base de données.

  • Région AWS : Dans quelle région AWS souhaitez-vous créer votre base de données ? La proximité entre votre base de données et votre application ou le service Web service permet de réduire la latence du réseau.

  • Sous-système de disque de base de données : Quels sont vos besoins en termes de stockage ? Amazon RDS propose trois types de stockage :

    • Magnétique (stockage standard)

    • Usage général (SSD)

    • IOPS provisionnées (PIOPS)

    Le stockage magnétique offre un stockage économique qui convient parfaitement aux applications avec des exigences en termes d'E/S modérées ou émises en rafales. Le stockage à usage général reposant sur SSD, également appelé gp2, fournit un accès plus rapide que le stockage sur disque. Le stockage IOPS provisionnées est conçu pour satisfaire les besoins des charges de travail gourmandes en E/S, notamment les charges de travail de base de données qui sont sensibles aux performances de stockage et à l'homogénéité du débit d'E/S. Pour plus d'informations sur le stockage Amazon RDS, consultez Stockage d'instance de base de données Amazon RDS.

Lorsque vous disposez de toutes les informations nécessaires pour créer le groupe de sécurité et l'instance de base de données, passez à l'étape suivante.

Créer un groupe de sécurité qui autorise l'accès à votre instance de base de données dans votre VPC

Les groupes de sécurité VPC permettent l'accès aux instances de base de données dans un VPC. Ils font office de pare-feu pour l'instance de base de données associée, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance. Par défaut, les instances de base de données sont créées avec un pare-feu et un groupe de sécurité par défaut protégeant l'instance de base de données.

Avant de pouvoir vous connecter à votre instance de base de données, vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter. Utilisez vos informations réseau et de configuration pour créer les règles autorisant l'accès à votre instance de base de données.

Note

Si votre instance de base de données héritée a été créée avant mars 2013 et qu'elle ne se trouve pas dans un VPC, il se peut qu'elle ne soit pas associée à des groupes de sécurité. Si votre instance de base de données a été créée après cette date, il se peut qu'elle se trouve dans un VPC par défaut.

Prenons l'exemple d'une application qui a accès à une base de données sur votre instance de base de données dans un VPC. Dans ce cas, vous devez ajouter une règle TCP personnalisée qui spécifie la plage de ports et les adresses IP utilisées par votre application pour accéder à la base de données. Si vous possédez une application sur une instance Amazon EC2, vous pouvez utiliser le groupe de sécurité VPC ou EC2 qui est configuré pour l'instance Amazon EC2.

Pour créer un groupe de sécurité VPC

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le coin supérieur droit de la AWS Management Console, sélectionnez la région AWS dans laquelle vous souhaitez créer votre groupe de sécurité VPC et l'instance DB. Dans la liste des ressources Amazon VPC de cette région AWS, vous devez voir que vous possédez au moins un VPC et plusieurs sous-réseaux. Si ce n'est pas le cas, cela signifie que vous ne disposez pas de VPC par défaut dans cette région AWS.

  3. Dans le volet de navigation, choisissez Groupes de sécurité.

  4. Sélectionnez Create Security Group.

  5. Dans la fenêtre Créer un groupe de sécurité, renseignez les valeurs Balise de nom, Nom du groupe et Description pour votre groupe de sécurité. Pour VPC, choisissez le VPC dans lequel vous souhaitez créer votre instance de base de données. Choisissez Yes, Create.

  6. Le groupe de sécurité VPC que vous avez créé doit encore être sélectionné. Si tel n'est pas le cas, choisissez-le dans la liste. Le volet des détails situé en bas de la fenêtre de la console affiche les détails du groupe de sécurité, ainsi que des onglets pour utiliser les règles entrantes et sortantes. Choisissez l'onglet Règles entrantes.

  7. Sous l'onglet Inbound Rules, choisissez Edit.

    1. Pour Type, choisissez Custom TCP Rule.

    2. Pour Plage de ports, saisissez le numéro du port à utiliser pour votre instance de base de données.

    3. Pour Source, choisissez un nom de groupe de sécurité ou tapez la plage d'adresses IP (valeur CIDR) à partir de laquelle vous accédez à l'instance.

  8. Choisissez Ajouter une autre règle si vous devez ajouter d'autres adresses IP ou des plages de ports différentes.

  9. (Facultatif) Utilisez l'onglet Règles sortantes pour ajouter des règles pour le trafic sortant. Par défaut, tous les trafics sortant sont autorisés.

Vous pouvez utiliser le groupe de sécurité VPC que vous venez de créer comme groupe de sécurité pour votre instance de base de données lors de sa création. Si votre instance de base de données n'est pas destinée à être située dans un VPC, consultez Utilisation des groupes de sécurité DB (plateforme EC2-Classic) pour créer un groupe de sécurité DB à utiliser lors de la création de votre instance de base de données.

Note

Si vous utilisez un VPC par défaut, un groupe de sous-réseaux par défaut couvrant l'ensemble des sous-réseaux du VPC a déjà été créé pour vous. Lorsque vous créez une instance de base de données, vous pouvez sélectionner le VPC par défaut et utiliser par défaut en regard de DB Subnet Group (Groupe de sous-réseaux de base de données).

Une fois que vous avez terminé la configuration, vous pouvez lancer une instance de base de données en utilisant votre configuration et votre groupe de sécurité. Pour plus d'informations sur la création d'une instance de base de données, consultez la documentation appropriée indiquée dans le tableau suivant.