Amazon Aurora の環境をセットアップする
Amazon Aurora を初めて使用する場合は、事前に以下のタスクをすべて実行してください。
既存の AWS アカウント があり、Aurora の要件を理解していて、IAM と VPC セキュリティグループをデフォルト設定で使用したい場合には、Amazon Aurora の開始方法 にスキップできます。
AWS アカウントにサインアップする
以下がない場合は、以下のステップを実行して AWS アカウント を作成します。
AWS アカウント にサインアップするには
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて検証コードを入力するように求められます。
AWS アカウント にサインアップすると、AWS アカウント ルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、管理ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
AWS のサインアップ処理が完了すると、ユーザーに確認メールが送信されます。https://aws.amazon.com/
管理ユーザーを作成する
AWS アカウント にサインアップした後、日常的なタスクにルートユーザーを使用しないように、管理ユーザーを作成します。
AWS アカウント ルートユーザーを保護する
-
[ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console
にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「ルートユーザーとしてサインインする」を参照してください。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、IAM ユーザーガイドの「AWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。
管理ユーザーを作成する
-
日常的な管理タスクのためには、AWS IAM Identity Center (successor to AWS Single Sign-On) の管理ユーザーに管理アクセスを割り当てます。
手順については、AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドの「開始方法」を参照してください。
管理ユーザーとしてサインインする
-
IAM Identity Center ユーザーとしてサインインするには、IAM Identity Center ユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドの「AWS アクセスポータルにサインインする」を参照してください。
IAM ユーザーアクセスキーの作成
AWS Management Console の外部で AWS を操作するには、ユーザーはプログラムによるアクセスが必要です。プログラムによるアクセスを許可する方法は、AWS にアクセスするユーザーのタイプによって異なります。
-
IAM Identity Center で ID を管理する場合、AWS API にはプロファイルが必要で、AWS Command Line Interface にはプロファイルまたは環境変数が必要です。
-
IAM ユーザーがいる場合、AWS API と AWS Command Line Interface にはアクセスキーが必要です。可能な限り、アクセスキー ID、シークレットアクセスキー、および認証情報の失効を示すセキュリティトークンが含まれる一時的な認証情報を作成します。
ユーザーにプログラムによるアクセス権を付与するには、以下のいずれかのオプションを選択します。
どのユーザーがプログラムによるアクセスを必要としますか? | To | By |
---|---|---|
ワークフォース ID (IAM Identity Center で管理されているユーザー) |
短期認証情報を使用して、AWS CLI または AWS API (直接または AWS SDK を使用して) へのプログラムによるリクエストに署名します。 |
使用するインターフェイスの指示に従ってください。
|
IAM | 短期認証情報を使用して、AWS CLI または AWS API (直接または AWS SDK を使用して) へのプログラムによるリクエストに署名します。 | 「IAM ユーザーガイド」の「AWS リソースでの一時的な認証情報の使用」の指示に従ってください。 |
IAM | 長期間の認証情報を使用して、AWS CLI または AWS API (直接またはAWS SDK を使用して) へのプログラムによるリクエストに署名します。 (非推奨) |
「IAM ユーザーガイド」の「IAM ユーザーのアクセスキーの管理」の指示に従います。 |
要件の確認
Aurora の基本的な構成要素は DB クラスターです。DB クラスターに 1 つ以上の DB インスタンスを属させることができます。DB クラスターによって、クラスターエンドポイントと呼ばれるネットワークアドレスが提供されます。アプリケーションは、DB クラスター内に作成されたデータベースへアクセスする必要がある場合、DB クラスターによって公開されたクラスターエンドポイントに接続します。DB クラスターの作成時に指定する情報によって、設定要素 (メモリ、データベースエンジンとバージョン、ネットワーク設定、セキュリティ、メンテナンス時間など) が制御されます。
DB クラスターとセキュリティグループを作成する前に、DB クラスターとネットワークに関する要件を理解しておく必要があります。重要な留意事項を以下に示します。
リソース要件 – アプリケーションまたはサービスに関するメモリとプロセッサの要件。DB クラスターの作成時にどのような DB インスタンスクラスを使用するかを決定する場合に、これらの設定が使用されます。DB インスタンスクラスの仕様については、「Aurora DB インスタンスクラス」を参照してください。
VPC、サブネット、およびセキュリティグループ – DB クラスターは仮想プライベートクラウド (VPC) に配置されます。セキュリティグループルールは、DB クラスターに接続するように設定される必要があります。各 VPC オプションに関するルールを次に説明します。
-
デフォルトの VPC — AWS アカウントに AWS リージョン内のデフォルトの VPC がある場合、その VPC は DB クラスターをサポートするように設定されます。DB クラスターの作成時にデフォルトの VPC を指定する場合は、次の操作を行います。
-
アプリケーションやサービスから Aurora DB クラスターへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、「ステップ 3: VPC セキュリティグループを作成する」を参照してください。
-
デフォルトの DB サブネットグループを指定する必要があります。これが AWS リージョン内に作成する最初の DB クラスターである場合、そのクラスターの作成時に、Amazon RDS は、デフォルトの DB サブネットグループを作成します。
-
-
ユーザー定義の VPC — DB クラスターの作成時にユーザー定義の VPC を指定する場合は、次の操作を行います。
-
アプリケーションやサービスから Aurora DB クラスターへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、「ステップ 3: VPC セキュリティグループを作成する」を参照してください。
-
DB クラスターをホストするには、VPC は特定の要件 (2 つ以上のサブネットを保持しており、各サブネットは個別のアベイラビリティーゾーン内にあることなど) を満たす必要があります。詳細については、「Amazon VPC VPC とAmazon Aurora」を参照してください。
-
DB クラスターで使用できる VPC 内のサブネットを定義する DB サブネットグループを指定する必要があります。詳細については、「VPC 内の DB クラスターの使用」の「DB サブネットグループ」のセクションを参照してください。
-
-
-
高可用性: フェイルオーバーサポートが必要かどうか。Aurora のマルチ AZ 配置ではプライマリインスタンスと Aurora レプリカが作成されます。プライマリインスタンスと Aurora レプリカをフェイルオーバーサポートのために異なるアベイラビリティーゾーンに設定することができます。本番稼働用のワークロードには、高可用性を維持するためにマルチ AZ 配置をお勧めします。開発およびテストの目的では、マルチ AZ 配置以外のデプロイを使用できます。詳細については、「Amazon Aurora の高可用性」を参照してください。
-
IAM ポリシー: Amazon RDS オペレーションの実行に必要なアクセス許可を付与するためのポリシーが、自分の AWS アカウントにあるかどうか。IAM 認証情報を使用して AWS に接続している場合、IAM アカウントには、Amazon RDS オペレーションの実行するためのアクセス許可を付与する IAM ポリシーが必要です。詳細については、「Amazon Aurora での Identity and Access Management」を参照してください。
-
Open ports: データベースがリッスンするのは、どの TCP/IP ポートであるか。一部の企業のファイアウォールでは、データベースエンジン用のデフォルトポートへの接続がブロックされる場合があります。会社のファイアウォールがデフォルトのポートをブロックする場合は、新しい DB クラスター用に別のポートを選択します。指定したポートをリッスンする DB クラスターを作成すると、DB クラスターを変更することでポートを変更できます。
AWS リージョン: データベースが必要となる AWS リージョン。アプリケーションやウェブサービスの近くにデータベースを配置すると、ネットワークレイテンシーが低減されます。詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。
セキュリティグループと DB クラスターの作成に必要な情報を把握したら、次のステップに進みます。
セキュリティグループを作成して VPC 内の DB クラスターへのアクセスを提供する
DB クラスターは VPC 内に作成されます。セキュリティグループは、VPC 内の DB クラスターへのアクセスを提供します。セキュリティグループは、関連付けられた DB クラスターのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をクラスターレベルで制御します。DB クラスターはデフォルトでファイアウォールによって作成され、DB クラスターへのアクセスを禁止するデフォルトのセキュリティグループとなります。このため、DB クラスターへの接続を可能にするルールをセキュリティグループに追加する必要があります。前のステップで決定したネットワークと設定に関する情報を使用して、DB クラスターへのアクセスを許可するルールを作成します。
例えば、アプリケーションが VPC 内にある DB クラスター上のデータベースにアクセスする場合、アプリケーションがデータベースにアクセスする際に使用するポート範囲と IP アドレスが指定された、カスタム TCP ルールを追加する必要があります。アプリケーションが Amazon EC2 インスタンスにある場合は、Amazon EC2 インスタンスに設定した VPC セキュリティグループを使用できます。
DB クラスターの作成時に、Amazon EC2 インスタンスと DB クラスター間の接続を設定できます。詳しくは、「EC2 インスタンスとの自動ネットワーク接続を設定する」を参照してください。
DB クラスターの作成時に、Amazon EC2 インスタンスと DB インスタンスクラスター間で自動的にネットワーク接続を設定できるようになります。詳しくは、「EC2 インスタンスとの自動ネットワーク接続を設定する」を参照してください。
Aurora で使用するための VPC を作成する方法の詳細については、チュートリアル: DB クラスターで使用する VPC を作成する (IPv4 専用) を参照してください。DB インスタンスにアクセスするための一般的なシナリオについては、VPC の DB クラスターにアクセスするシナリオ を参照してください。
VPC セキュリティグループを作成するには
-
AWS Management Console にサインインして、Amazon VPC コンソール (https://console.aws.amazon.com/vpc
) を開きます。 注記 RDS コンソールではなく VPC コンソールにアクセスしていることを確認します。
AWS Management Console の右上で、VPC セキュリティグループと DB クラスターを作成する先の AWS リージョンを選択します。この AWS リージョンにある Amazon VPC リソースのリストには、少なくとも 1 の VPC と複数のサブネットが表示されます。表示されない場合、この AWS リージョンにはデフォルト VPC がありません。
ナビゲーションペインで、[Security Groups] を選択します。
-
[セキュリティグループの作成] を選択します。
[Create security group] (セキュリティグループの作成) ページが表示されます。
[Basic details] (基本的な詳細) で、[Security group name] (セキュリティグループ名) と [Description] (説明) を入力します。[VPC] で、DB クラスターを作成する先の VPC を選択します。
[Inbound rules] (インバウンドルール) で、[Add rule] (ルールを追加) を選択します。
[タイプ] で [カスタム TCP] を選択します。
[Port range] (ポート範囲) で、DB クラスターのために使用するポート値を入力します。
-
[Source] (ソース) で、セキュリティグループ名を選択するか、DB クラスターにアクセスする IP アドレスの範囲 (CIDR 値) を入力します。[My IP] (マイ IP) を選択すると、ブラウザで検出された IP アドレスから DB クラスターにアクセスできます。
IP アドレスや異なるポート範囲を追加する必要がある場合は、[Add rule] (ルールを追加) を選択し、ルールの情報を入力します。
(オプション) [Outbound rules] (アウトバウンドルール) で、アウトバウンドトラフィックのルールを追加します。デフォルトではすべてのアウトバウンドトラフィックが許可されます。
-
[セキュリティグループの作成] を選択します。
ここで作成した VPC セキュリティグループは、作成される DB クラスターのセキュリティグループとして使用できます。
デフォルトの VPC を使用する場合、すべての VPC のサブネットにまたがるデフォルトのサブネットグループが作成されます。DB クラスターを作成する場合は、デフォルト VPC を選択し、[DB Subnet Group] (DB サブネットグループ) の [default] (デフォルト) を使用できます。
セットアップ要件を充足したら、Amazon Aurora DB クラスターの作成 の手順に従って、要件とセキュリティグループを使用して DB クラスターを作成できます。特定の DB エンジンを使用する DB クラスターを作成することによる開始方法については、Amazon Aurora の開始方法 を参照してください。