Amazon Relational Database Service
ユーザーガイド (API バージョン 2014-10-31)

Amazon RDS のセットアップ

Amazon Relational Database Service (Amazon RDS) を初めてセットアップする方法を以下に示します。既存の AWS アカウントがあり、Amazon RDS の要件を理解していて、IAM と VPC セキュリティグループのデフォルトを使用する場合は、「開始方法」にスキップできます。

Amazon Web Services (AWS) について、以下の点を理解しておきます。

  • AWS にサインアップすると、AWS アカウントで AWS のすべてのサービス (Amazon RDS など) に自動的にアクセスできます。ただし、料金が発生するのは、実際に使用したサービスの分のみです。

  • Amazon RDSを使用すると、アクティブな RDS インスタンスに対してのみ料金が発生します。作成した Amazon RDS DB インスタンスはライブとなります (サンドボックスで実行されるわけではありません)。インスタンスを終了するまで、Amazon RDS の標準使用料が発生します。Amazon RDS の使用料の詳細については、Amazon RDS 製品ページを参照してください。

AWS にサインアップする

すでに AWS アカウントをお持ちの場合は、次の手順「IAM ユーザーを作成する」に進んでください。

AWS アカウントをお持ちでない場合は、次に説明する手順にしたがってアカウントを作成できます。AWS の新規のお客様である場合は、Amazon RDS の使用を無料で開始できます。詳細については、「AWS 無料利用枠」を参照してください。

新しい AWS アカウントを作成するには

  1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。

    注記

    AWS アカウントのルートユーザー 認証情報を使用して、すでに AWS マネジメントコンソール にサインインしている場合は、[Sign in to a different account (別のアカウントにサインインする)] を選択します。IAM 認証情報を使用して、すでにコンソールにサインインしている場合は、[Sign-in using root account credentials (ルートアカウントの資格情報を使ってサインイン)] を選択します。[新しい AWS アカウントの作成] を選択します。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて確認コードを入力することが求められます。

IAM ユーザーを作成する

AWS アカウントを作成して AWS マネジメントコンソール に正常に接続すると、AWS Identity and Access Management (IAM) ユーザーを作成できます。AWS ルートアカウントでサインインする代わりに、IAM の Amazon RDS 管理ユーザーを使用することをお勧めします。

これを行う 1 つの方法としては、新しい IAM ユーザーを作成し、管理者のアクセス許可を付与します。別の方法としては、Amazon RDS 管理アクセス許可を持つ IAM グループに既存の IAM ユーザーを追加できます。次に、IAM ユーザーの認証情報を使用して専用の URL から AWS にアクセスできます。

AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソールを使用して作成できます。

自分用の IAM ユーザーを作成し、そのユーザーを管理者グループに追加するには

  1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/AWS アカウントのルートユーザー として IAM コンソールにサインインします。

    注記

    以下の管理者 IAM ユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてサインインして、少数のアカウントおよびサービス管理タスクのみを実行します。

  2. コンソールのナビゲーションペインで、[Users] を選択後、[Add user] を選択します。

  3. [User name] に、Administrator と入力します。

  4. [AWS マネジメントコンソール access] の横のチェックボックスをオンにし、[Custom password] を選択して、新しいユーザーのパスワードをテキストボックスに入力します。オプションとして [Require password reset] (パスワードのリセットの強制) を選択し、ユーザーが次回サインインしたときに新しいパスワードを作成することを強制できます。

  5. [Next: Permissions] を選択します。

  6. [Set permissions ] ページで、[Add user to group] を選択します。

  7. [Create group] を選択します。

  8. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。

  9. [ポリシーのフィルタ] で、[AWS 管理のジョブ機能] チェックボックスをオンにします。

  10. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group] を選択します。

  11. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] を選択し、リスト内のグループを表示します。

  12. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。

この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス権限を制限する方法については、「アクセス管理」と「ポリシーの例」を参照してください。

新しい IAM ユーザーとしてサインインするには、まず AWS マネジメントコンソール からサインアウトします。次に、以下の URL を使用します。your_aws_account_id はハイフンなしの AWS アカウント番号です。たとえば、AWS アカウント番号が 1234-5678-9012 の場合、AWS アカウント ID は 123456789012 です。

https://your_aws_account_id.signin.aws.amazon.com/console/

作成した IAM ユーザー名とパスワードを入力します。サインインすると、ナビゲーションバーに「your_user_name @ your_aws_account_id」が表示されます。

サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成します。IAM ダッシュボードで [カスタマイズ] を選択し、エイリアス (会社名など) を入力します。アカウントエイリアスを作成した後、サインインするには、次の URL を使用します。

https://your_account_alias.signin.aws.amazon.com/console/

アカウントの IAM ユーザーのサインインリンクを確認するには、IAM コンソールを開き、ダッシュボードの [AWS Account Alias] の下を確認します。

AWS アカウントのアクセスキーを作成することもできます。これらのアクセスキーを使用して AWS Command Line Interface (AWS CLI) または Amazon RDS API 経由で AWS にアクセスできます。詳細については、「AWS アカウントのアクセスキー管理」、「AWS Command Line Interface のインストール」、および「Amazon RDS API リファレンス」を参照してください。

要件の特定

Amazon RDS の基本的な構成要素は DB インスタンスです。DB インスタンスでは、データベースを作成します。DB インスタンスは、エンドポイントというネットワークアドレスを提供します。アプリケーションでは、このエンドポイントを使用して DB インスタンスに接続します。DB インスタンスの作成時に、ストレージ、メモリ、データベースエンジンとバージョン、ネットワーク構成、セキュリティ、メンテナンス期間などの詳細を指定します。DB インスタンスへのネットワークアクセスは、セキュリティグループを通じて制御します。

DB インスタンスとセキュリティグループを作成する前に、DB インスタンスとネットワークに関する要件を理解しておく必要があります。重要な留意事項を以下に示します。

  • リソース要件 – アプリケーションまたはサービスに関するメモリとプロセッサの要件。 これらの設定を使用すると、使用する DB インスタンスクラスを判断するのに役立ちます。DB インスタンスクラスの仕様については、「DB インスタンスクラスの選択」を参照してください。

  • VPC、サブネット、セキュリティグループ – DB インスタンスは Virtual Private Cloud (VPC) である可能性が最も高くなります。DB インスタンスに接続するには、セキュリティグループルールを設定する必要があります。これらのルールは、使用する VPC の種類と使用方法 (デフォルトの VPC 内、ユーザー定義の VPC、または VPC の外部) に応じて設定が異なります。

    注記

    レガシーアカウントによっては VPC を使用しない場合があります。新しい AWS リージョンにアクセスする場合や新しい RDS ユーザー (2013 年以降) である場合、通常、DB インスタンスの作成先は VPC 内になります。

    アカウントのデフォルト VPC が特定の AWS リージョンにあるかどうかを判断する方法については、「EC2-VPC または EC2-Classic のどちらのプラットフォームを使用するか判断する」を参照してください。

    各 VPC オプションに関するルールを次に説明します。

    • デフォルト VPC – AWS アカウントのデフォルト VPC が現在の AWS リージョンにある場合、その VPC は DB インスタンスをサポートするように設定されます。DB インスタンスの作成時にデフォルト VPC を指定する場合は、次の操作を行います。

      • アプリケーションやサービスからデータベースを含む Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを作成します。VPC セキュリティグループを作成するには、Amazon EC2 API を使用するか、VPC コンソールの [セキュリティグループ] オプションを使用します。詳細については、「ステップ 4: VPC セキュリティグループを作成する」を参照してください。

      • デフォルトの DB サブネットグループを指定します。この AWS リージョンで DB インスタンスを初めて作成した場合、Amazon RDS で DB インスタンスの作成時にデフォルトの DB サブネットグループが作成されます。

    • ユーザー定義の VPC – DB インスタンスの作成時にユーザー定義の VPC を指定する場合は、以下の点に注意します。

      • アプリケーションやサービスからデータベースを含む Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、Amazon EC2 API を使用するか、VPC コンソールの [セキュリティグループ] オプションを使用します。詳細については、ステップ 4: VPC セキュリティグループを作成する を参照してください。

      • DB インスタンスをホストするには、VPC は特定の要件 (2 つ以上のサブネットを保持しており、各サブネットは個別のアベイラビリティーゾーン内にあることなど) を満たす必要があります。詳細については、Amazon Virtual Private Cloud (VPC) および Amazon RDS を参照してください。

      • DB インスタンスで使用できる VPC 内のサブネットを定義する DB サブネットグループを必ず指定します。詳細については、「VPC の DB インスタンスの使用」の「DB サブネットグループの使用」セクションを参照してください。

    • VPC なし– AWS アカウントにデフォルト VPC が存在せず、ユーザー定義の VPC も指定しない場合は、DB セキュリティグループを作成します。DB セキュリティグループは、アプリケーションやユーティリティを実行しているデバイスや Amazon RDS インスタンスからの接続を許可し、DB インスタンス内のデータベースにアクセスできるようにします。詳細については、「DB セキュリティグループの操作 (EC2-Classic プラットフォーム)」を参照してください。

  • 高可用性: フェイルオーバーサポートが必要かどうか。 Amazon RDS では、マルチ AZ 配置により、フェイルオーバーのサポート用に、プライマリ DB インスタンスとセカンダリスタンバイ DB インスタンスが別個のアベイラビリティーゾーンに作成されます。本番稼働用のワークロードには、高可用性を維持するためにマルチ AZ 配置をお勧めします。開発およびテストの目的では、マルチ AZ 配置以外のデプロイを使用できます。詳細については、「Amazon RDS での高可用性 (マルチ AZ)」を参照してください。

  • IAM ポリシー: Amazon RDS オペレーションの実行に必要なアクセス許可を付与するポリシーが AWS アカウントにあるかどうか。 IAM 認証情報を使用して AWS に接続する場合、IAM アカウントには、Amazon RDS オペレーションの実行に必要な権限を付与する IAM ポリシーが必要です。詳細については、「認証とアクセスコントロール」を参照してください。

  • 開いているポート: データベースでリッスンする TCP/IP ポート。 一部の企業のファイアウォールでは、データベースエンジン用のデフォルトポートへの接続がブロックされる場合があります。企業のファイアウォールがデフォルトのポートをブロックしている場合は、新しい DB インスタンス用に他のポートを選択します。指定したポートでリッスンする DB インスタンスを作成した場合、DB インスタンスを変更することでポートを変更できます。

  • AWS リージョン: データベースの配置先の AWS リージョン。 アプリケーションやウェブサービスの近くにデータベースを配置すると、ネットワークレイテンシーを低減できます。

  • DB ディスクサブシステム: ストレージ要件。Amazon RDS​ には 3 つのストレージタイプがあります。

    • マグネティック (スタンダードストレージ)

    • 汎用 (SSD)

    • プロビジョンド IOPS (PIOPS)

    マグネティックストレージは、コスト効果に優れたストレージであり、アプリケーションの I/O 要件が少ないかまたはバースト I/O 要件である場合に適しています。gp2 とも呼ばれる汎用 SSD-Backed ストレージでは、ディスクベースのストレージより高速なアクセスを提供できます。プロビジョンド IOPS のストレージは、I/O を集中的に使用するワークロード (特にデータベースワークロード) の要件を満たすように設計されています。これらのワークロードは、ストレージのパフォーマンスやランダムアクセス I/O スループットの一貫性に大きく依存します。Amazon RDS ストレージの詳細については、「DB インスタンスストレージ」を参照してください。

セキュリティグループと DB インスタンスの作成に必要な情報を把握したら、次のステップに進みます。

セキュリティグループを作成して VPC 内の DB インスタンスへのアクセスを提供する

VPC セキュリティグループは、VPC 内の DB インスタンスへのアクセスを提供します。セキュリティグループは、関連付けられた DB インスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルで制御します。DB インスタンスはデフォルトでファイアウォールによって作成され、DB インスタンスを保護するデフォルトのセキュリティグループとなります。

DB インスタンスに接続する前に、接続を可能にするルールをセキュリティグループに追加する必要があります。ネットワークと設定に関する情報を使用して、DB インスタンスへのアクセスを許可するルールを作成します。

注記

レガシー DB インスタンスが 2013 年 3 月以前に作成されたもので、VPC 内に存在していない場合は、セキュリティグループが関連付けられていない可能性があります。この日付の後に DB インスタンスが作成された場合、デフォルトの VPC 内にある可能性があります。

たとえば、アプリケーションから VPC 内にある DB インスタンスのデータベースにアクセスするとします。この場合、カスタム TCP ルールを追加し、アプリケーションからデータベースにアクセスするためのポート範囲と IP アドレスを指定する必要があります。アプリケーションが Amazon EC2 インスタンスにある場合は、Amazon EC2 インスタンスにセットアップ済みの VPC または EC2 セキュリティグループを使用できます。

VPC セキュリティグループを作成するには

  1. AWS マネジメントコンソールにサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc) を開きます。

  2. AWS マネジメントコンソールの右上で、VPC セキュリティグループと DB インスタンスを作成する先の AWS リージョンを選択します。この AWS リージョンの Amazon VPC リソースのリストに、1 つ以上の VPC と複数のサブネットが表示されます。表示されない場合、この AWS リージョンにはデフォルト VPC がありません。

  3. ナビゲーションペインで、[Security Groups] を選択します。

  4. [Create Security Group] を選択します。

  5. [セキュリティグループの作成] ウィンドウで、セキュリティグループの [名前タグ]、[グループ名]、および [説明] の値を入力します。[VPC] で、DB インスタンスを作成する先の VPC を選択します。[Yes, Create] を選択します。

  6. 作成した VPC セキュリティグループは、選択された状態になっています。選択されていない場合は、リストで検索して選択します。コンソールウィンドウの下部にある詳細ペインには、セキュリティグループの詳細、およびインバウンドルールとアウトバウンドルールを操作するためのタブが表示されます。[インバウンドのルール] タブを選択します。

  7. [Inbound Rules] タブで、[Edit] を選択します。

    1. [Type] で [Custom TCP Rule] を選択します。

    2. [ポート範囲] に、DB インスタンスに使用するポート値を入力します。

    3. [ソース] で、セキュリティグループ名を選択するか、インスタンスにアクセスする IP アドレスの範囲 (CIDR 値) を入力します。

  8. IP アドレスをさらに追加する場合、または別のポート範囲を追加する場合は、[別のルールの追加] を選択します。

  9. (オプション) [アウトバウンドのルール] タブを使用して、アウトバウンドトラフィックのルールを追加します。デフォルトではすべてのアウトバウンドトラフィックが許可されます。

ここで作成した VPC セキュリティグループは、DB インスタンスの作成時にセキュリティグループとして使用できます。DB インスタンスを VPC 内で使用しない場合は、「DB セキュリティグループの操作 (EC2-Classic プラットフォーム)」を参照して DB セキュリティグループを作成し、DB インスタンスの作成時に使用します。

注記

デフォルトの VPC を使用する場合、すべての VPC のサブネットにまたがるデフォルトのサブネットグループが作成されます。DB インスタンスを作成する場合は、デフォルト VPC を選択し、[DB サブネットグループ] の [デフォルト] を使用できます。

セットアップに必要なステップが完了したら、ユーザーの要件とセキュリティグループを利用して、DB インスタンスを起動できます。DB インスタンス作成の詳細については、以下の表に示す関連ドキュメントを参照してください。