Amazon Aurora の環境をセットアップする
Amazon Aurora を初めて使用する場合は、事前に以下のタスクをすべて実行してください。
トピック
既存の AWS アカウント があり、Aurora の要件を理解していて、IAM と VPC セキュリティグループをデフォルト設定で使用したい場合には、Amazon Aurora の開始方法 にスキップできます。
AWS アカウントへのサインアップ
AWS アカウント がない場合は、以下のステップを実行して作成します。
AWS アカウントにサインアップするには
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。
AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべてのAWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/
管理アクセスを持つユーザーを作成する
AWS アカウント にサインアップしたら、AWS アカウントのルートユーザー をセキュリティで保護し、AWS IAM Identity Center を有効にして、管理ユーザーを作成します。これにより、日常的なタスクにルートユーザーを使用しないようにします。
AWS アカウントのルートユーザーをセキュリティで保護する
-
ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console
にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのルートユーザーとしてサインインするを参照してください。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、IAM ユーザーガイドのAWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)を参照してください。
管理アクセスを持つユーザーを作成する
-
IAM アイデンティティセンターを有効にします。
手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。
-
IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「デフォルト IAM アイデンティティセンターディレクトリを使用したユーザーアクセスの設定」を参照してください。
管理アクセス権を持つユーザーとしてサインインする
-
IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのAWS アクセスポータルにサインインするを参照してください。
追加のユーザーにアクセス権を割り当てる
プログラム的なアクセス権を付与する
AWS Management Console の外部で AWS を操作するには、プログラマチックアクセス権が必要です。プログラマチックアクセス権を付与する方法は、AWS にアクセスしているユーザーのタイプによって異なります。
ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。
プログラマチックアクセス権を必要とするユーザー | 目的 | 方法 |
---|---|---|
ワークフォースアイデンティティ (IAM Identity Center で管理されているユーザー) |
一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。 |
使用するインターフェイス用の手引きに従ってください。
|
IAM | 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。 | 「IAM ユーザーガイド」の「AWS リソースでの一時的な認証情報の使用」の指示に従ってください。 |
IAM | (非推奨) 長期的な認証情報を使用して、AWS CLI、AWS SDK、AWS API へのプログラムによるリクエストに署名します。 |
使用するインターフェイス用の手順に従ってください。
|
要件の確認
Aurora の基本的な構成要素は DB クラスターです。DB クラスターに 1 つ以上の DB インスタンスを属させることができます。DB クラスターによって、クラスターエンドポイントと呼ばれるネットワークアドレスが提供されます。アプリケーションは、DB クラスター内に作成されたデータベースへアクセスする必要がある場合、DB クラスターによって公開されたクラスターエンドポイントに接続します。DB クラスターの作成時に指定する情報によって、設定要素 (メモリ、データベースエンジンとバージョン、ネットワーク設定、セキュリティ、メンテナンス時間など) が制御されます。
DB クラスターとセキュリティグループを作成する前に、DB クラスターとネットワークに関する要件を理解しておく必要があります。重要な留意事項を以下に示します。
リソース要件 – アプリケーションまたはサービスに関するメモリとプロセッサの要件。DB クラスターの作成時にどのような DB インスタンスクラスを使用するかを決定する場合に、これらの設定が使用されます。DB インスタンスクラスの仕様については、「Amazon Aurora DB インスタンスクラス」を参照してください。
VPC、サブネット、およびセキュリティグループ – DB クラスターは仮想プライベートクラウド (VPC) に配置されます。セキュリティグループルールは、DB クラスターに接続するように設定される必要があります。各 VPC オプションに関するルールを次に説明します。
-
デフォルトの VPC — AWS アカウントに AWS リージョン内のデフォルトの VPC がある場合、その VPC は DB クラスターをサポートするように設定されます。DB クラスターの作成時にデフォルトの VPC を指定する場合は、次の操作を行います。
-
アプリケーションやサービスから Aurora DB クラスターへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、「ステップ 3: VPC セキュリティグループを作成する」を参照してください。
-
デフォルトの DB サブネットグループを指定する必要があります。これが AWS リージョン内に作成する最初の DB クラスターである場合、そのクラスターの作成時に、Amazon RDS は、デフォルトの DB サブネットグループを作成します。
-
-
ユーザー定義の VPC — DB クラスターの作成時にユーザー定義の VPC を指定する場合は、次の操作を行います。
-
アプリケーションやサービスから Aurora DB クラスターへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、「ステップ 3: VPC セキュリティグループを作成する」を参照してください。
-
DB クラスターをホストするには、VPC は特定の要件 (2 つ以上のサブネットを保持しており、各サブネットは個別のアベイラビリティーゾーン内にあることなど) を満たす必要があります。詳細については、「Amazon VPC と Amazon Aurora」を参照してください。
-
DB クラスターで使用できる VPC 内のサブネットを定義する DB サブネットグループを指定する必要があります。詳細については、「VPC 内の DB クラスターの使用」の「DB サブネットグループ」のセクションを参照してください。
-
-
-
高可用性: フェイルオーバーサポートが必要かどうか。Aurora のマルチ AZ 配置ではプライマリインスタンスと Aurora レプリカが作成されます。プライマリインスタンスと Aurora レプリカをフェイルオーバーサポートのために異なるアベイラビリティーゾーンに設定することができます。本番稼働用のワークロードには、高可用性を維持するためにマルチ AZ 配置をお勧めします。開発およびテストの目的では、マルチ AZ 配置以外のデプロイを使用できます。詳細については、「Amazon Aurora の高可用性」を参照してください。
-
IAM ポリシー: Amazon RDS オペレーションの実行に必要なアクセス許可を付与するためのポリシーが、自分の AWS アカウントにあるかどうか。IAM 認証情報を使用して AWS に接続している場合、IAM アカウントには、Amazon RDS オペレーションの実行するためのアクセス許可を付与する IAM ポリシーが必要です。詳細については、「Amazon Aurora での Identity and Access Management」を参照してください。
-
Open ports: データベースがリッスンするのは、どの TCP/IP ポートであるか。一部の企業のファイアウォールでは、データベースエンジン用のデフォルトポートへの接続がブロックされる場合があります。会社のファイアウォールがデフォルトのポートをブロックする場合は、新しい DB クラスター用に別のポートを選択します。指定したポートをリッスンする DB クラスターを作成すると、DB クラスターを変更することでポートを変更できます。
AWS リージョン: データベースが必要となる AWS リージョン。アプリケーションやウェブサービスの近くにデータベースを配置すると、ネットワークレイテンシーが低減されます。詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。
セキュリティグループと DB クラスターの作成に必要な情報を把握したら、次のステップに進みます。
セキュリティグループを作成して VPC 内の DB クラスターへのアクセスを提供する
DB クラスターは VPC 内に作成されます。セキュリティグループは、VPC 内の DB クラスターへのアクセスを提供します。セキュリティグループは、関連付けられた DB クラスターのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をクラスターレベルで制御します。DB クラスターはデフォルトでファイアウォールによって作成され、DB クラスターへのアクセスを禁止するデフォルトのセキュリティグループとなります。このため、DB クラスターへの接続を可能にするルールをセキュリティグループに追加する必要があります。前のステップで決定したネットワークと設定に関する情報を使用して、DB クラスターへのアクセスを許可するルールを作成します。
例えば、アプリケーションが VPC 内にある DB クラスター上のデータベースにアクセスする場合、アプリケーションがデータベースにアクセスする際に使用するポート範囲と IP アドレスが指定された、カスタム TCP ルールを追加する必要があります。アプリケーションが Amazon EC2 インスタンスにある場合は、Amazon EC2 インスタンスに設定した VPC セキュリティグループを使用できます。
DB クラスターの作成時に、Amazon EC2 インスタンスと DB クラスター間の接続を設定できます。詳しくは、「EC2 インスタンスとの自動ネットワーク接続を設定する」を参照してください。
ヒント
DB クラスターの作成時に、Amazon EC2 インスタンスと DB インスタンスクラスター間で自動的にネットワーク接続を設定できるようになります。詳しくは、「EC2 インスタンスとの自動ネットワーク接続を設定する」を参照してください。
Aurora で使用するための VPC を作成する方法の詳細については、チュートリアル: DB クラスターで使用する VPC を作成する (IPv4 専用) を参照してください。DB インスタンスにアクセスするための一般的なシナリオについては、VPC の DB クラスターにアクセスするシナリオ を参照してください。
VPC セキュリティグループを作成するには
-
AWS Management Console にサインインして、Amazon VPC コンソール (https://console.aws.amazon.com/vpc
) を開きます。 注記
RDS コンソールではなく VPC コンソールにアクセスしていることを確認します。
AWS Management Console の右上で、VPC セキュリティグループと DB クラスターを作成する先の AWS リージョンを選択します。この AWS リージョンにある Amazon VPC リソースのリストには、少なくとも 1 の VPC と複数のサブネットが表示されます。表示されない場合、この AWS リージョンにはデフォルト VPC がありません。
ナビゲーションペインで、[Security Groups] を選択します。
-
セキュリティグループの作成 を選択します。
[Create security group] (セキュリティグループの作成) ページが表示されます。
[Basic details] (基本的な詳細) で、[Security group name] (セキュリティグループ名) と [Description] (説明) を入力します。[VPC] で、DB クラスターを作成する先の VPC を選択します。
[Inbound rules] (インバウンドルール) で、[Add rule] (ルールを追加) を選択します。
[タイプ] で [カスタム TCP] を選択します。
[Port range] (ポート範囲) で、DB クラスターのために使用するポート値を入力します。
-
[Source] (ソース) で、セキュリティグループ名を選択するか、DB クラスターにアクセスする IP アドレスの範囲 (CIDR 値) を入力します。[My IP] (マイ IP) を選択すると、ブラウザで検出された IP アドレスから DB クラスターにアクセスできます。
IP アドレスや異なるポート範囲を追加する必要がある場合は、[Add rule] (ルールを追加) を選択し、ルールの情報を入力します。
(オプション) [Outbound rules] (アウトバウンドルール) で、アウトバウンドトラフィックのルールを追加します。デフォルトではすべてのアウトバウンドトラフィックが許可されます。
-
[セキュリティグループの作成] を選択します。
ここで作成した VPC セキュリティグループは、作成される DB クラスターのセキュリティグループとして使用できます。
注記
デフォルトの VPC を使用する場合、すべての VPC のサブネットにまたがるデフォルトのサブネットグループが作成されます。DB クラスターを作成する場合は、デフォルト VPC を選択し、[DB Subnet Group] (DB サブネットグループ) の [default] (デフォルト) を使用できます。
セットアップ要件を充足したら、Amazon Aurora DB クラスターの作成 の手順に従って、要件とセキュリティグループを使用して DB クラスターを作成できます。特定の DB エンジンを使用する DB クラスターを作成することによる開始方法については、Amazon Aurora の開始方法 を参照してください。