Amazon RDS のセットアップ - Amazon Relational Database Service

Amazon RDS のセットアップ

Amazon Relational Database Service を初めて使用する場合は、事前に以下のタスクをすべて実行してください。

既存の AWS アカウントがあり、Amazon RDS の要件を理解していて、IAM と VPC セキュリティグループのデフォルトを使用する場合は、Amazon RDS の開始方法 にスキップできます。

Sign up for AWS

AWS にサインアップすると、Amazon RDS を含む AWS のすべてのサービスに対して AWS アカウントが自動的にサインアップされます。料金が発生するのは、実際に使用したサービスの分のみです。

Amazon RDS は、使用したリソース分のみお支払いいただくだけで利用可能です。作成した Amazon RDS DB インスタンスはライブとなります (サンドボックスで実行されるわけではありません)。各 DB インスタンスを終了するまで、Amazon RDS の標準使用料が発生します。Amazon RDS の使用料の詳細については、Amazon RDS の製品ページを参照してください。AWS の新規のお客様である場合は、Amazon RDS の使用を無料で開始できます。詳細については、AWS 無料利用枠を参照してください。

既に AWS アカウントをお持ちの場合は、次の手順「IAM ユーザーを作成する」に進んでください。

AWS アカウントをお持ちでない場合は、次に説明する手順にしたがってアカウントを作成してください。

新しい AWS アカウントを作成するには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。

次のタスクで AWS アカウント番号が必要となるので、メモしておいてください。

IAM ユーザーを作成する

AWS アカウントを作成して AWS Management Console に正常に接続すると、AWS Identity and Access Management (IAM) ユーザーを作成できます。AWS ルートアカウントでサインインする代わりに、Amazon RDS の IAM 管理ユーザーを使用することをお勧めします。

これを行う 1 つの方法としては、新しい IAM ユーザーを作成し、管理者のアクセス許可を付与します。別の方法としては、Amazon RDS 管理アクセス許可を持つ IAM グループに既存の IAM ユーザーを追加できます。次に、IAM ユーザーの認証情報を使用して専用の URL から AWS にアクセスできます。

AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソールを使用して作成できます。

自分用の管理者ユーザーを作成し、そのユーザーを管理者グループに追加するには (コンソール)

  1. ルートユーザー を選択し AWS アカウントの E メールアドレスを入力して、アカウントの所有者としてIAM コンソールにサインインします。次のページでパスワードを入力します。

    注記

    次の Administrator IAM ユーザーの使用に関するベストプラクティスに従って、ルートユーザーの認証情報を安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてサインインして、少数のアカウントおよびサービス管理タスクのみを実行します。

  2. ナビゲーションペインで [Users]、[Add user] の順に選択します。

  3. [ユーザー名] に「Administrator」と入力します。

  4. [AWS Management Console access (アクセス)] の横にあるチェックボックスをオンにします。[Custom password (カスタムパスワード)] を選択し、その後テキストボックスに新しいパスワードを入力します。

  5. (オプション) AWS では、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することが必要です。必要に応じて [User must create a new password at next sign-in (ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーがサインインしてからパスワードをリセットできるようにできます。

  6. [Next: Permissions (次へ: アクセス許可)] を選択します。

  7. [Set permissions (アクセス許可の設定)] で、[Add user to group (ユーザーをグループに追加)] を選択します。

  8. [Create group] を選択します。

  9. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。

  10. [Filter policies (フィルタポリシー)] を選択し、次に [AWS managed -job function (AWS 管理ジョブの機能)] を選択してテーブルのコンテンツをフィルタリングします。

  11. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group] を選択します。

    注記

    AdministratorAccess アクセス許可を使用して、AWS Billing and Cost Management コンソールを使用する前に、IAM ユーザーおよびロールの請求へのアクセスをアクティブ化する必要があります。これを行うには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

  12. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] を選択し、リスト内のグループを表示します。

  13. [次へ: タグ] を選択します。

  14. (オプション) タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの使用の詳細については、IAM ユーザーガイド の「IAM エンティティのタグ付け」を参照してください。

  15. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。

この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス許可を制限する方法については、「アクセス管理」と「ポリシーの例」を参照してください。

新しい IAM ユーザーとしてサインインするには、まず AWS Management Console からサインアウトします。以下の URL を使用します。ここで、your_aws_account_id はハイフンなしのお客様の AWS アカウント番号です。例えば、AWS アカウント番号が 1234-5678-9012 の場合、AWS アカウント ID は 123456789012 です。

https://your_aws_account_id.signin.aws.amazon.com/console/

作成した IAM ユーザー名とパスワードを入力します。サインインすると、ナビゲーションバーに「your_user_name @ your_aws_account_id」が表示されます。

サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成します。IAM ダッシュボードで [カスタマイズ] を選択し、エイリアス (会社名など) を入力します。アカウントエイリアスを作成した後、サインインするには、次の URL を使用します。

https://your_account_alias.signin.aws.amazon.com/console/

アカウントの IAM ユーザーのサインインリンクを確認するには、IAM コンソールを開き、ダッシュボードの [AWS Account Alias] の下を確認します。

AWS アカウントのアクセスキーを作成することもできます。これらのアクセスキーを使用して AWS Command Line Interface (AWS CLI) または Amazon RDS API 経由で AWS にアクセスできます。詳細については、プログラムによるアクセスAWS CLI のインストール、更新、およびアンインストールAmazon RDS API リファレンスを参照してください。

要件の確認

Amazon RDS の基本的な構成要素は DB インスタンスです。DB インスタンスでは、データベースを作成します。DB インスタンスは、エンドポイントというネットワークアドレスを提供します。アプリケーションでは、このエンドポイントを使用して DB インスタンスに接続します。DB インスタンスの作成時に、ストレージ、メモリ、データベースエンジンとバージョン、ネットワーク構成、セキュリティ、メンテナンス期間などの詳細を指定します。DB インスタンスへのネットワークアクセスは、セキュリティグループを通じて制御します。

DB インスタンスとセキュリティグループを作成する前に、DB インスタンスとネットワークに関する要件を理解しておく必要があります。重要な留意事項を以下に示します。

  • リソース要件 – アプリケーションまたはサービスに関するメモリとプロセッサの要件。 これらの設定を使用すると、使用する DB インスタンスクラスを判断するのに役立ちます。DB インスタンスクラスの仕様については、「DB インスタンスクラス」を参照してください。

  • VPC、サブネット、セキュリティグループ – DB インスタンスは Virtual Private Cloud (VPC) である可能性が最も高くなります。DB インスタンスに接続するには、セキュリティグループルールを設定する必要があります。これらのルールは、使用する VPC の種類と使用方法 (デフォルトの VPC 内またはユーザー定義の VPC 内) に応じて設定が異なります。

    各 VPC オプションに関するルールを次に説明します。

    • デフォルト VPC – AWS アカウントのデフォルト VPC が現在の AWS リージョンにある場合、その VPC は DB インスタンスをサポートするように設定されます。DB インスタンスの作成時にデフォルト VPC を指定する場合は、次の操作を行います。

      • アプリケーションやサービスから Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、ステップ 4: VPC セキュリティグループを作成する を参照してください。

      • デフォルトの DB サブネットグループを指定します。この AWS リージョンで DB インスタンスを初めて作成した場合、Amazon RDS で DB インスタンスの作成時にデフォルトの DB サブネットグループが作成されます。

    • ユーザー定義の VPC – DB インスタンスの作成時にユーザー定義の VPC を指定する場合は、以下の点に注意します。

      • アプリケーションやサービスから Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、ステップ 4: VPC セキュリティグループを作成する を参照してください。

      • DB インスタンスをホストするには、VPC は特定の要件 (2 つ以上のサブネットを保持しており、各サブネットは個別のアベイラビリティーゾーン内にあることなど) を満たす必要があります。詳細については、Amazon Virtual Private Cloud VPC および Amazon RDS を参照してください。

      • DB インスタンスで使用できる VPC 内のサブネットを定義する DB サブネットグループを必ず指定します。詳細については、「VPC 内の DB インスタンスの使用」の「DB サブネットグループの使用」セクションを参照してください。

      注記

      レガシーアカウントによっては VPC を使用しない場合があります。新しい AWS リージョンにアクセスしている場合、または新しい RDS ユーザー (2013 年以降) の場合は、VPC 内に DB インスタンスを作成する可能性が最も高くなります。詳細については、EC2-VPC または EC2-Classic のどちらのプラットフォームを使用しているかを確認する を参照してください。

  • 高可用性: フェイルオーバーサポートが必要かどうか。 Amazon RDS では、マルチ AZ 配置により、フェイルオーバーのサポート用に、プライマリ DB インスタンスとセカンダリスタンバイ DB インスタンスが別個のアベイラビリティーゾーンに作成されます。本番稼働用のワークロードには、高可用性を維持するためにマルチ AZ 配置をお勧めします。開発およびテストの目的では、マルチ AZ 配置以外のデプロイを使用できます。詳細については、Amazon RDS での高可用性 (マルチ AZ) を参照してください。

  • IAM ポリシー: Amazon RDS オペレーションの実行に必要なアクセス許可を付与するポリシーが AWS アカウントにあるかどうか。 IAM 認証情報を使用して AWS に接続する場合、IAM アカウントには、Amazon RDS オペレーションの実行に必要な権限を付与する IAM ポリシーが必要です。詳細については、「Amazon RDS での Identity and Access Management」を参照してください。

  • 開いているポート: データベースでリッスンする TCP/IP ポート。 一部の企業のファイアウォールでは、データベースエンジン用のデフォルトポートへの接続がブロックされる場合があります。企業のファイアウォールがデフォルトのポートをブロックしている場合は、新しい DB インスタンス用に他のポートを選択します。指定したポートでリッスンする DB インスタンスを作成した場合、DB インスタンスを変更することでポートを変更できます。

  • AWS リージョン: データベースが必要となる AWS リージョン。 アプリケーションやウェブサービスの近くにデータベースを配置すると、ネットワークレイテンシーを低減できます。詳細については、 リージョン、アベイラビリティーゾーン、および Local Zones を参照してください。

  • DB ディスクサブシステム: ストレージ要件。Amazon RDS​ には 3 つのストレージタイプがあります。

    • マグネティック (スタンダードストレージ)

    • 汎用 (SSD)

    • プロビジョンド IOPS (PIOPS)

    マグネティックストレージは、コスト効果に優れたストレージであり、アプリケーションの I/O 要件が少ないかまたはバースト I/O 要件である場合に適しています。gp2 とも呼ばれる汎用 SSD-Backed ストレージでは、ディスクベースのストレージより高速なアクセスを提供できます。プロビジョンド IOPS のストレージは、I/O を集中的に使用するワークロード (特にデータベースワークロード) の要件を満たすように設計されています。これらのワークロードは、ストレージのパフォーマンスやランダムアクセス I/O スループットの一貫性に大きく依存します。Amazon RDS ストレージの詳細については、「Amazon RDS DB インスタンスストレージ」を参照してください。

セキュリティグループと DB インスタンスの作成に必要な情報を把握したら、次のステップに進みます。

セキュリティグループを作成して VPC 内の DB インスタンスへのアクセスを提供する

VPC セキュリティグループは、VPC 内の DB インスタンスへのアクセスを提供します。セキュリティグループは、関連付けられた DB インスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方を DB インスタンスレベルで制御します。DB インスタンスはデフォルトでファイアウォールによって作成され、DB インスタンスを保護するデフォルトのセキュリティグループとなります。

DB インスタンスに接続する前に、接続を可能にするルールをセキュリティグループに追加する必要があります。ネットワークと設定に関する情報を使用して、DB インスタンスへのアクセスを許可するルールを作成します。

たとえば、アプリケーションから VPC 内にある DB インスタンスのデータベースにアクセスするとします。この場合、カスタム TCP ルールを追加し、アプリケーションからデータベースにアクセスするためのポート範囲と IP アドレスを指定する必要があります。アプリケーションが Amazon EC2 インスタンスにある場合は、Amazon EC2 インスタンスに設定したセキュリティグループを使用できます。

DB インスタンスにアクセスするための一般的なシナリオについては、VPC の DB インスタンスにアクセスするシナリオ を参照してください。

VPC セキュリティグループを作成するには

  1. AWS Management Consoleにサインインし、Amazon VPC コンソール (https://console.aws.amazon.com/vpc) を開きます。

    注記

    RDS コンソールではなく VPC コンソールにアクセスしていることを確認します。

  2. AWS Management Console の右上で、VPC セキュリティグループと DB インスタンスを作成する先の AWS リージョンを選択します。この AWS リージョンの Amazon VPC リソースのリストに、1 つ以上の VPC と複数のサブネットが表示されます。表示されない場合、この AWS リージョンにはデフォルト VPC がありません。

  3. ナビゲーションペインで、[Security Groups] を選択します。

  4. [セキュリティグループの作成] を選択します。

    [Create security group] (セキュリティグループの作成) ページが表示されます。

  5. [Basic details] (基本的な詳細) で、[Security group name] (セキュリティグループ名) と [Description] (説明) を入力します。[VPC] で、DB インスタンスを作成する先の VPC を選択します。

  6. [Inbound rules] (インバウンドルール) で、[Add rule] (ルールを追加) を選択します。

    1. [タイプ] で [カスタム TCP] を選択します。

    2. [Port range] (ポート範囲) で、DB インスタンスに使用するポート値を入力します。

    3. [Source] (ソース) で、セキュリティグループ名を選択するか、DB インスタンスにアクセスする IP アドレスの範囲 (CIDR 値) を入力します。[マイ IP] を選択すると、ブラウザで検出された IP アドレスから DB インスタンスにアクセスできます。

  7. IP アドレスや異なるポート範囲を追加する必要がある場合は、[Add rule] (ルールを追加) を選択し、ルールの情報を入力します。

  8. (オプション) [Outbound rules] (アウトバウンドルール) で、アウトバウンドトラフィックのルールを追加します。デフォルトではすべてのアウトバウンドトラフィックが許可されます。

  9. [セキュリティグループの作成] を選択します。

ここで作成した VPC セキュリティグループは、DB インスタンスの作成時にセキュリティグループとして使用できます。

注記

デフォルトの VPC を使用する場合、すべての VPC のサブネットにまたがるデフォルトのサブネットグループが作成されます。DB インスタンスを作成する場合は、デフォルト VPC を選択し、[DB サブネットグループ] の [デフォルト] を使用できます。

セットアップ要件を充足したら、Amazon RDS DB インスタンスの作成 の手順に従って、要件とセキュリティグループを使用して DB インスタンスを作成できます。特定の DB エンジンを使用する DB インスタンスを作成して使用を開始する方法については、次の表にある関連ドキュメントを参照してください。

注記

作成後に DB インスタンスに接続できない場合は、「Amazon RDS DB インスタンスに接続できない」のトラブルシューティング情報を参照してください。