Amazon RDS のセットアップ - Amazon Relational Database Service

Amazon RDS のセットアップ

Amazon Relational Database Service を初めて使用する場合は、事前に以下のタスクをすべて実行してください。

既存の AWS アカウントがあり、Amazon RDS の要件を理解していて、IAM と VPC セキュリティグループでデフォルト設定を使用する場合は、Amazon RDS のスタート方法 にスキップできます。

AWS アカウント とルートユーザー認証情報を取得する

AWS にアクセスするには、AWS アカウント にサインアップする必要があります。

AWS アカウント にサインアップする

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて検証コードを入力するように求められます。

    AWS アカウント にサインアップすると、AWS アカウント ルートユーザーが作成されます。ルートユーザーは、アカウントのすべて AWS のサービス とリソースへの完全なアクセス権を持ちます。セキュリティのベストプラクティスとして、管理アクセスを管理ユーザーに割り当てルートユーザーアクセスを必要とするタスクを実行するには、ルートユーザーのみを使用使用します。

AWS のサインアップ処理が完了すると、ユーザーに確認メールが送信されます。https://aws.amazon.com/[My Account] (アカウント) をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

IAM ユーザーを作成する

完全な AWS 管理者権限を持つ IAM ユーザーが既にアカウントに含まれている場合は、このセクションを省略できます。

AWS アカウント を最初に作成する場合は、アカウントのすべての AWS のサービス とリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。この ID は AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。

重要

日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報を保護し、それらを使用してルートユーザーのみが実行できるタスクを実行します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、AWS 全般のリファレンスの「ルートユーザー認証情報が必要なタスク」を参照してください。

管理者ユーザーを作成するには、以下のいずれかのオプションを選択します。

管理者を管理する方法を 1 つ選択します To By 以下の操作も可能
IAM Identity Center 内

(推奨)

短期認証情報を使用して AWS にアクセスする。

これはセキュリティのベストプラクティスと一致しています。ベストプラクティスの詳細については、IAM ユーザーガイドの「IAM でのセキュリティのベストプラクティス」を参照してください。

AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーガイドの「開始方法」の手順に従います。 AWS Command Line Interface ユーザーガイドの「AWS IAM Identity Center (successor to AWS Single Sign-On) を使用するための AWS CLI の設定」に従って、プログラムによるアクセスを設定します。
IAM 内

(非推奨)

長期認証情報を使用して AWS にアクセスする。 IAM ユーザーガイドの「最初の IAM 管理者のユーザーおよびグループの作成」の手順に従います。 IAM ユーザーガイドの「IAM ユーザーのアクセスキーの管理」に従って、プログラムによるアクセスを設定します。

IAM ユーザーとしてサインインする

[IAM user] (IAM ユーザー) を選択し、AWS アカウント ID またはアカウントエイリアスを入力して IAM コンソールにサインインします。その次のページで、IAM ユーザー名とパスワードを入力します。

注記

利便性のため、AWS サインインページは、ブラウザ cookie を使用して IAM ユーザー名とアカウント情報を記憶します。以前に別のユーザーとしてサインインした場合は、ボタンの下にあるサインインリンクを選択して、メインサインインページに戻ります。そのページで、AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトされるようにすることができます。

IAM ユーザーアクセスキーの作成

アクセスキーはアクセスキー ID とシークレットアクセスキーから成り、AWS に対するプログラムによるリクエストに署名するときに使用されます。アクセスキーがない場合は、AWS Management Console から作成することができます。ベストプラクティスとして、必須ではないタスクでは AWS アカウント のルートユーザーアクセスキーを使用しないでください。代わりに、自身用のアクセスキーを持つ新しい管理者 IAM ユーザーを作成します。

シークレットアクセスキーを表示またはダウンロードできるのは、キーを作成するときのみです。後で回復することはできません。ただし、いつでも新しいアクセスキーを作成できます。また、必要な IAM アクションを実行するための許可が必要です。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Permissions required to access IAM resources」(IAM リソースにアクセスするために必要な許可) を参照してください。

IAM ユーザーのアクセスキーを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. アクセスキーを作成するユーザー名を選択し、[Security credentials] (セキュリティ認証情報) タブを選択します。

  4. [Access keys] (アクセスキー) セクションで、[Create access key] (アクセスキーを作成) を選択します。

  5. 新しいアクセスキーのペアを表示するには、[Show] (表示) を選択します。このダイアログボックスを閉じた後で、シークレットアクセスキーに再度アクセスすることはできません。認証情報は以下のようになります:

    • アクセスキーID:AKIAIOSFODNN7EXAMPLE

    • シークレットアクセスキー: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. キーペアをダウンロードするには、[Download .csv file.csv] (キーファイルのダウンロード) を選択します。このキーは安全な場所に保存してください。このダイアログボックスを閉じた後で、シークレットアクセスキーに再度アクセスすることはできません。

    AWS アカウント を保護するためにキーは機密にしておき、E メールでは送信しないようにしてください。また、所属している組織外にこの情報を公開してはいけません。AWS または Amazon.com を名乗る人物から問い合わせがあった場合でも、この情報は開示しないでください。Amazonを正式に代表する人物がシークレットキーの情報を要求することは一切ありません。

  7. .csv ファイルをダウンロードしたら、[Close(閉じる)] を選択します。アクセスキーを作成すると、キーペアはデフォルトで有効になり、すぐにキーペアを使用できるようになります。

関連トピック

要件の確認

Amazon RDS の基本的な構成要素は DB インスタンスです。DB インスタンスでは、データベースを作成します。DB インスタンスは、エンドポイントというネットワークアドレスを提供します。アプリケーションでは、このエンドポイントを使用して DB インスタンスに接続します。DB インスタンスの作成時に、ストレージ、メモリ、データベースエンジンとバージョン、ネットワーク構成、セキュリティ、メンテナンス期間などの詳細を指定します。DB インスタンスへのネットワークアクセスは、セキュリティグループを通じて制御します。

DB インスタンスとセキュリティグループを作成する前に、DB インスタンスとネットワークに関する要件を理解しておく必要があります。重要な留意事項を以下に示します。

  • リソース要件 – アプリケーションまたはサービスに関するメモリとプロセッサの要件。これらの設定を使用すると、使用する DB インスタンスクラスを判断するのに役立ちます。DB インスタンスクラスの仕様については、「 DB インスタンスクラス」を参照してください。

  • VPC、サブネット、セキュリティグループ – DB インスタンスは Virtual Private Cloud (VPC) である可能性が最も高くなります。DB インスタンスに接続するには、セキュリティグループルールを設定する必要があります。これらのルールは、使用する VPC の種類と使用方法に応じて設定が異なります。例えば、デフォルト VPC またはユーザー定義の VPC を使用できます。

    各 VPC オプションに関するルールを次に説明します。

    • デフォルト VPC – AWS アカウントのデフォルト VPC が現在の AWS リージョンにある場合、その VPC は DB インスタンスをサポートするように設定されます。DB インスタンスの作成時にデフォルト VPC を指定する場合は、次の操作を行います。

      • アプリケーションやサービスから Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、「ステップ 3: VPC セキュリティグループを作成する」を参照してください。

      • デフォルトの DB サブネットグループを指定します。この AWS リージョンで DB インスタンスを初めて作成した場合、DB インスタンスの作成時にデフォルトの DB サブネットグループが、Amazon RDS により作成されます。

    • ユーザー定義の VPC – DB インスタンスの作成時にユーザー定義の VPC を指定する場合は、以下の点に注意します。

      • アプリケーションやサービスから Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、「ステップ 3: VPC セキュリティグループを作成する」を参照してください。

      • DB インスタンスをホストするには、VPC は特定の要件 (2 つ以上のサブネットを保持しており、各サブネットは個別のアベイラビリティーゾーン内にあることなど) を満たす必要があります。詳細については、「Amazon VPC VPC とAmazon RDS」を参照してください。

      • DB インスタンスで使用できる VPC 内のサブネットを定義する DB サブネットグループを必ず指定します。詳細については、「VPC 内の DB インスタンスの使用」の「DB サブネットグループの使用」セクションを参照してください。

  • 高可用性: フェイルオーバーサポートが必要かどうか。Amazon RDS では、マルチ AZ 配置により、フェイルオーバーのサポート用に、プライマリ DB インスタンスとセカンダリスタンバイ DB インスタンスが別個のアベイラビリティーゾーンに作成されます。本番稼働用のワークロードには、高可用性を維持するためにマルチ AZ 配置をお勧めします。開発およびテストの目的では、マルチ AZ 配置以外のデプロイを使用できます。詳細については、「高可用性を重視したマルチ AZ 配置」を参照してください。

  • IAM ポリシー: Amazon RDS オペレーションの実行に必要なアクセス許可を付与するためのポリシーが、自分の AWS アカウントにあるかどうか。IAM 認証情報を使用して AWS に接続している場合、IAM アカウントには、Amazon RDS オペレーションの実行するためのアクセス許可を付与する IAM ポリシーが必要です。詳細については、「Amazon RDS での Identity and Access Management」を参照してください。

  • 開いているポート: データベースでリッスンする TCP/IP ポート。一部の企業のファイアウォールでは、データベースエンジン用のデフォルトポートへの接続がブロックされる場合があります。企業のファイアウォールがデフォルトのポートをブロックしている場合は、新しい DB インスタンス用に他のポートを選択します。指定したポートでリッスンする DB インスタンスを作成した場合、DB インスタンスを変更することでポートを変更できます。

  • AWS リージョン: データベースが必要となる AWS リージョン。アプリケーションやウェブサービスの近くにデータベースを配置すると、ネットワークレイテンシーを低減できます。詳細については、「リージョン、アベイラビリティーゾーン、および Local Zones」を参照してください。

  • DB ディスクサブシステム: ストレージ要件について検討します。Amazon RDS には、次の 3 つのストレージタイプがあります。

    • マグネティック (スタンダードストレージ)

    • 汎用 (SSD)

    • プロビジョンド IOPS (PIOPS)

    マグネティックストレージは、コスト効果に優れたストレージであり、アプリケーションの I/O 要件が少ないかまたはバースト I/O 要件である場合に適しています。gp2 とも呼ばれる汎用 SSD-Backed ストレージでは、ディスクベースのストレージより高速なアクセスを提供できます。プロビジョンド IOPS ストレージは I/O 集約型のワークロードのニーズを満たすように設計されています。特に、プロビジョンド IOPS のストレージは、データベースワークロード向けに設計されています。これらのワークロードは、ストレージのパフォーマンスやランダムアクセス I/O スループットの一貫性に大きく依存します。Amazon RDS ストレージの詳細については、「Amazon RDS DB インスタンスストレージ」を参照してください。

セキュリティグループと DB インスタンスの作成に必要な情報を把握したら、次のステップに進みます。

セキュリティグループを作成して VPC 内の DB インスタンスへのアクセスを提供する

VPC セキュリティグループは、VPC 内の DB インスタンスへのアクセスを提供します。セキュリティグループは、関連付けられた DB インスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方を DB インスタンスレベルで制御します。DB インスタンスはデフォルトでファイアウォールによって作成され、DB インスタンスを保護するデフォルトのセキュリティグループとなります。

DB インスタンスに接続する前に、接続を可能にするルールをセキュリティグループに追加する必要があります。ネットワークと設定に関する情報を使用して、DB インスタンスへのアクセスを許可するルールを作成します。

例えば、アプリケーションから VPC 内にある DB インスタンスのデータベースにアクセスするとします。この場合、カスタム TCP ルールを追加し、アプリケーションからデータベースにアクセスするためのポート範囲と IP アドレスを指定する必要があります。アプリケーションが Amazon EC2 インスタンスにある場合は、Amazon EC2 インスタンスに設定したセキュリティグループを使用できます。

DB インスタンスを作成するときに、Amazon EC2 インスタンスと DB インスタンス間の接続を設定できます。(詳しくは、「EC2 インスタンスとの自動ネットワーク接続を設定する」を参照してください。)

ヒント

DB インスタンスを作成するときに、Amazon EC2 インスタンスと DB インスタンス間のネットワーク接続を自動的に設定できます。(詳しくは、「EC2 インスタンスとの自動ネットワーク接続を設定する」を参照してください。)

DB インスタンスにアクセスするための一般的なシナリオについては、VPC の DB インスタンスにアクセスするシナリオ を参照してください。

VPC セキュリティグループを作成するには

  1. AWS Management Console にサインインして、Amazon VPC コンソール (https://console.aws.amazon.com/vpc) を開きます。

    注記

    RDS コンソールではなく VPC コンソールにアクセスしていることを確認します。

  2. AWS Management Console の右上隅で、VPC セキュリティグループと DB インスタンスを作成する先の AWS リージョンを選択します。この AWS リージョンにある Amazon VPC リソースのリストには、少なくとも 1 の VPC と複数のサブネットが表示されます。表示されない場合、この AWS リージョンにはデフォルト VPC がありません。

  3. ナビゲーションペインで、[Security Groups] を選択します。

  4. [セキュリティグループの作成] を選択します。

    [Create security group] (セキュリティグループの作成) ページが表示されます。

  5. [Basic details] (基本的な詳細) で、[Security group name] (セキュリティグループ名) と [Description] (説明) を入力します。[VPC] で、DB インスタンスを作成する先の VPC を選択します。

  6. [Inbound rules] (インバウンドルール) で、[Add rule] (ルールを追加) を選択します。

    1. [タイプ] で [カスタム TCP] を選択します。

    2. [Port range] (ポート範囲) で、DB インスタンスに使用するポート値を入力します。

    3. [Source] (ソース) で、セキュリティグループ名を選択するか、DB インスタンスにアクセスする IP アドレスの範囲 (CIDR 値) を入力します。[マイ IP] を選択すると、ブラウザで検出された IP アドレスから DB インスタンスにアクセスできます。

  7. IP アドレスや異なるポート範囲を追加する必要がある場合は、[Add rule] (ルールを追加) を選択し、ルールの情報を入力します。

  8. (オプション) [Outbound rules] (アウトバウンドルール) で、アウトバウンドトラフィックのルールを追加します。デフォルトではすべてのアウトバウンドトラフィックが許可されます。

  9. [セキュリティグループの作成] を選択します。

ここで作成した VPC セキュリティグループは、DB インスタンスの作成時にセキュリティグループとして使用できます。

注記

デフォルトの VPC を使用する場合、すべての VPC のサブネットにまたがるデフォルトのサブネットグループが作成されます。DB インスタンスを作成する場合は、デフォルト VPC を選択し、[DB サブネットグループ] の [デフォルト] を使用できます。

セットアップに必要なステップが完了したら、ユーザーの要件とセキュリティグループを利用して、DB インスタンスを作成できます。これを行うには、「Amazon RDS DB インスタンスの作成」の手順に従います。特定の DB エンジンを使用する DB インスタンスを作成して使用を開始する方法については、次の表にある関連ドキュメントを参照してください。

注記

作成後に DB インスタンスに接続できない場合は、「Amazon RDS DB インスタンスに接続できない」のトラブルシューティング情報を参照してください。