Amazon Aurora の環境をセットアップする - Amazon Aurora
AWS にサインアップするIAM ユーザーを作成する要件の特定セキュリティグループを作成して、VPC 内の DB クラスターへのアクセスを提供します。

Amazon Aurora の環境をセットアップする

Amazon Aurora を初めて使用する場合は、事前に以下のタスクをすべて実行してください。

  1. AWS にサインアップする

  2. IAM ユーザーを作成する

  3. 要件の特定

  4. セキュリティグループを作成して、VPC 内の DB クラスターへのアクセスを提供します。

AWS にサインアップする

Amazon RDS (AWS) にサインアップすると、Amazon RDS など AWS のすべてのサービスに対して AWS アカウントが自動的にサインアップされます。料金が発生するのは、実際に使用したサービスの分のみです。

Amazon RDS は、使用したリソース分のみお支払いいただくだけで利用可能です。作成した Amazon RDS DB クラスターはライブとなります (サンドボックスで実行されるわけではありません)。クラスターを終了するまで、そのクラスターについて Amazon RDS の標準使用料が発生します。Amazon RDS の使用料の詳細については、Amazon RDS の製品ページを参照してください。AWS の新規のお客様である場合は、Amazon RDS の使用を無料で開始できます。詳細については、「AWS 無料利用枠」を参照してください。

既に AWS アカウントをお持ちの場合は次のタスクに進んでください。AWS アカウントをお持ちでない場合は、次に説明する手順にしたがってアカウントを作成してください。

AWS アカウントを作成するには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。

次のタスクで AWS アカウント番号が必要となるので、メモしておいてください。

IAM ユーザーを作成する

AWS のサービス (Amazon RDS など) の場合は、サービスにアクセスする際に認証情報を提供する必要があります。このため、サービスのリソースにアクセスする権限があるかどうかがサービスによって判定されます。コンソールを使用するにはパスワードが必要です。AWS アカウントのアクセスキーを作成して、コマンドラインインターフェイスまたは API にアクセスすることができます。ただし、AWS アカウントの認証情報を使って AWS にアクセスすることはお勧めしません。代わりに AWS Identity and Access Management (IAM) を使用することをお勧めします。IAM ユーザーを作成して、管理権限を使ってこのユーザーを IAM グループに追加するか、管理権限を付与します。これで、特殊な URL と IAM ユーザーの認証情報を使って、AWS にアクセスできます。

AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソールを使用して作成できます。

自分用の管理者ユーザーを作成し、そのユーザーを管理者グループに追加するには (コンソール)

  1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/AWS アカウントのルートユーザー として IAM コンソールにサインインします。

    注記

    以下のAdministratorIAMユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてサインインして、少数のアカウントおよびサービス管理タスクのみを実行します。

  2. ナビゲーションペインで [Users]、[Add user] の順に選択します。

  3. [ユーザー名] に「Administrator」と入力します。

  4. [AWS マネジメントコンソール access (アクセス)] の横にあるチェックボックスをオンにします。[Custom password (カスタムパスワード)] を選択し、その後テキストボックスに新しいパスワードを入力します。

  5. (オプション) AWS では、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することが必要です。必要に応じて [User must create a new password at next sign-in (ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーがサインインしてからパスワードをリセットできるようにできます。

  6. [Next: Permissions (次へ: アクセス許可)] を選択します。

  7. [Set permissions (アクセス許可の設定)] で、[Add user to group (ユーザーをグループに追加)] を選択します。

  8. [Create group] を選択します。

  9. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。

  10. [Filter policies (フィルタポリシー)] を選択し、その後 [AWS managed -job function (AWS 管理ジョブの機能] を選択してテーブルのコンテンツをフィルタリングします。

  11. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group] を選択します。

    注記

    AdministratorAccess アクセス許可を使用して、AWS Billing and Cost Management コンソールを使用する前に、IAM ユーザーおよびロールの請求へのアクセスをアクティブ化する必要があります。これを行うには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

  12. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] を選択し、リスト内のグループを表示します。

  13. [次へ: タグ] を選択します。

  14. (オプション) タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの使用の詳細については、『IAM ユーザーガイド』の「IAM エンティティのタグ付け」を参照してください。

  15. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。

この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス許可を制限する方法については、「アクセス管理」と「ポリシーの例」を参照してください。

新規の IAM ユーザーとしてサインインするには、AWS コンソールからサインアウトし、次の URL を使用します。このとき、your_aws_account_id はハイフンを除いた AWS アカウント番号です(たとえば AWS アカウント番号が 1234-5678-9012 であれば、AWS アカウント ID は 123456789012 となります)。 

https://your_aws_account_id.signin.aws.amazon.com/console/

作成した IAM ユーザー名とパスワードを入力します。サインインすると、ナビゲーションバーに「your_user_name @ your_aws_account_id」が表示されます。

サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成します。IAM ダッシュボードから [Customize (カスタマイズ)] を選択し、エイリアス (会社名など) を入力します。アカウントエイリアスを作成した後、サインインするには、次の URL を使用します。 

https://your_account_alias.signin.aws.amazon.com/console/

アカウントの IAM ユーザーのサインインリンクを確認するには、IAM コンソールを開き、ダッシュボードの [AWS Account Alias] の下を確認します。

要件の特定

Aurora の基本的な構成要素は DB クラスターです。DB クラスターに 1 つ以上の DB インスタンスを属させることができます。DB クラスターによって、クラスターエンドポイントと呼ばれるネットワークアドレスが提供されます。アプリケーションは、DB クラスター内に作成されたデータベースへアクセスする必要がある場合、DB クラスターによって公開されたクラスターエンドポイントに接続します。DB クラスターの作成時に指定する情報によって、設定要素 (メモリ、データベースエンジンとバージョン、ネットワーク設定、セキュリティ、メンテナンス時間など) が制御されます。

セキュリティグループや DB クラスターを作成するには、事前に DB クラスターとネットワークに関する要件を理解しておく必要があります。たとえば、次の情報を把握しておく必要があります。

  • アプリケーションまたはサービスに関するメモリとプロセッサの要件。 DB クラスターの作成時にどのような DB インスタンスクラスを使用するかを決定する場合に、これらの設定が使用されます。DB インスタンスクラスの仕様については、「DB インスタンスクラス」を参照してください。

  • Virtual Private Cloud (VPC) 内の DB クラスターセキュリティグループルールは、DB クラスターに接続するように設定される必要があります。各 VPC オプションに関するルールを次に説明します。

    • デフォルトの VPC — AWS アカウントがリージョン内にデフォルトの VPC を所有している場合、その VPC は DB クラスターをサポートするように設定されます。DB クラスターの作成時にデフォルトの VPC を指定する場合は、次の操作を行います。

      • アプリケーションやサービスからデータベースを含む Aurora DB クラスターへの接続を許可する VPC セキュリティグループを作成する必要があります。VPC セキュリティグループを作成するには、「Amazon EC2 API」を使用するか、VPC コンソールの [セキュリティグループ] オプションを使用する必要があります。詳細については、ステップ 4: VPC セキュリティグループを作成する を参照してください。

      • デフォルトの DB サブネットグループを指定する必要があります。リージョン内に作成した DB クラスターが最初の DB インスタンスである場合、Amazon RDS では、DB クラスターの作成時にデフォルトの DB サブネットグループが作成されます。

    • ユーザー定義の VPC — DB クラスターの作成時にユーザー定義の VPC を指定する場合は、次の操作を行います。

      • アプリケーションやサービスからデータベースを含む Aurora DB クラスターへの接続を許可する VPC セキュリティグループを作成する必要があります。VPC セキュリティグループを作成するには、「Amazon EC2 API」を使用するか、VPC コンソールの [セキュリティグループ] オプションを使用する必要があります。詳細については、ステップ 4: VPC セキュリティグループを作成する を参照してください。

      • DB クラスターをホストするには、VPC は特定の要件 (2 つ以上のサブネットを保持しており、各サブネットは個別のアベイラビリティーゾーン内にあることなど) を満たす必要があります。詳細については、Amazon Virtual Private Cloud VPC および Amazon Aurora を参照してください。

      • DB クラスターで使用できる VPC 内のサブネットを定義する DB サブネットグループを指定する必要があります。詳細については、「VPC の DB インスタンスの使用」の「DB サブネットグループ」のセクションを参照してください。

  • フェイルオーバーサポートが必要かどうか。 Aurora のマルチ AZ 配置ではプライマリインスタンスと Aurora レプリカが作成されます。プライマリインスタンスと Aurora レプリカをフェイルオーバーサポートのために異なるアベイラビリティーゾーンに設定することができます。本番稼働用のワークロードには、高可用性を維持するためにマルチ AZ 配置をお勧めします。開発およびテストの目的では、マルチ AZ 配置以外のデプロイを使用できます。詳細については、「Aurora の高可用性」を参照してください。

  • AWS アカウントが、Amazon RDS オペレーションの実行に必要な権限を付与するポリシーを持っているかどうか。 IAM 認証情報を使用して AWS に接続する場合、IAM アカウントには、Amazon RDS オペレーションの実行に必要な権限を付与する IAM ポリシーが必要です。詳細については、「Amazon Aurora での Identity and Access Management」を参照してください。

  • データベースがリッスンするのは、どの TCP/IP ポートであるか。 一部の企業のファイアウォールでは、データベースエンジン用のデフォルトのポートへの接続がブロックされる場合があります。会社のファイアウォールがデフォルトのポートをブロックする場合は、新しい DB クラスター用に別のポートを選択します。指定したポートをリッスンする DB クラスターを作成すると、DB クラスターを変更することでポートを変更できます。

  • データベースが必要となるリージョン。 アプリケーションやウェブサービスの近くにデータベースを配置すると、ネットワークレイテンシーが低減されます。

セキュリティグループと DB クラスターの作成に必要な情報を把握したら、次のステップに進みます。

セキュリティグループを作成して、VPC 内の DB クラスターへのアクセスを提供します。

DB クラスターは、ほとんどの場合 VPC 内で作成されます。セキュリティグループは、VPC 内の DB クラスターへのアクセスを提供します。セキュリティグループは、関連付けられた DB クラスターのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をクラスターレベルで制御します。DB クラスターはデフォルトでファイアウォールによって作成され、DB クラスターへのアクセスを禁止するデフォルトのセキュリティグループとなります。このため、DB クラスターへの接続を可能にするルールをセキュリティグループに追加する必要があります。前のステップで決定したネットワークと設定に関する情報を使用して、DB クラスターへのアクセスを許可するルールを作成します。

DB セキュリティグループを必要とする VPC 内にないレガシー DB クラスターを持っていない限り、作成する必要があるセキュリティグループは VPC セキュリティグループとなります。2013 年 3 月以降に作成された AWS アカウントの場合、デフォルトの VPC を所有しており、その VPC 内に DB クラスターが作成される可能性があります。VPC 内の DB クラスターでは、インスタンスへのアクセスを許可するルールを VPC セキュリティグループに追加する必要があります。

たとえば、アプリケーションが VPC 内にある DB クラスター上のデータベースにアクセスする場合、アプリケーションがデータベースにアクセスする際に使用するポート範囲と IP アドレスが指定された、カスタム TCP ルールを追加する必要があります。アプリケーションが Amazon EC2 クラスターにある場合は、Amazon EC2 クラスターにセットアップ済みの VPC セキュリティグループを使用できます。

VPC セキュリティグループを作成するには

  1. AWS マネジメントコンソールにサインインし、Amazon VPC コンソール (https://console.aws.amazon.com/vpc) を開きます。

  2. AWS マネジメントコンソール の右上で、VPC セキュリティグループと DB クラスターを作成するリージョンを選択します。そのリージョンの Amazon VPC リソースのリストには、1 つ以上の VPC と複数のサブネットがあることが示されます。このように示されない場合は、そのリージョン内にデフォルトの VPC がありません。

  3. ナビゲーションペインで、[Security Groups] を選択します。

  4. [セキュリティグループの作成] を選択します。

  5. [セキュリティグループの作成] ページで、[Security group name (セキュリティグループ名)] と [説明] を入力します。DB クラスターを作成する [VPC] を選択します。[Create] を選択します。

  6. 作成した VPC セキュリティグループを選択します。コンソールウィンドウの下部にある詳細ペインには、セキュリティグループの詳細、およびインバウンドルールとアウトバウンドルールを操作するためのタブが表示されます。[インバウンドのルール] タブを選択します。

  7. [インバウンドルール] タブで、[ルールの編集]、[ルールの追加] の順に選択します。[タイプ] リストから、[カスタム TCP ルール] を選択します。[ポート範囲] に、DB クラスターに使用するポートの値を入力してから、[ソース] で、クラスターへのアクセス元の IP アドレス範囲 (CIDR 値) を入力するか、セキュリティグループ名を選択します。

  8. IP アドレスをさらに追加する場合、または別のポート範囲を追加する場合は、[ルールの追加] を選択します。

  9. [Save Rules (ルールの保存)] を選択します。

  10. 必要に応じて、[アウトバウンドルール] タブを使用し、アウトバウンドトラフィックのルールを追加できます。

ここで作成した VPC セキュリティグループは、作成される DB クラスターのセキュリティグループとして使用できます。

最後に、VPC サブネットについて次の点に注意してください。デフォルトの VPC を使用する場合、すべての VPC サブネットを対象とするデフォルトのサブネットグループが既に自動的に作成されています。DB クラスターを作成する場合は、デフォルト VPC を選択し、[DB サブネットグループ] の [デフォルト] を使用できます。

セットアップに必要なステップが完了したら、ユーザーの要件と作成したセキュリティグループを利用して、DB クラスターを起動できます。DB クラスター作成の詳細については、以下の表に示す関連ドキュメントを参照してください。

セットアップ後、テスト Amazon Aurora DB クラスターを作成することができます。手順については、「Amazon Aurora の使用開始」を参照してください。