Amazon RDS 環境のセットアップ
このページでは、アカウント設定、セキュリティ、リソース管理など、Amazon Relational Database Service をセットアップするための包括的なガイドを提供します。データベース環境を効率的に作成、管理、保護するための重要なステップについて説明します。Amazon RDS を初めて使用する場合も、特定の要件に合わせて設定する場合も、これらのセクションを参照して、セットアップが最適化されており、ベストプラクティスに準拠していることを確認できます。
トピック
既に AWS アカウント があり、Amazon RDS の要件を理解していて、IAM と VPC セキュリティグループでデフォルト設定を使用する場合は、Amazon RDS のスタート方法 にスキップできます。
AWS アカウントへのサインアップ
AWS アカウント がない場合は、以下のステップを実行して作成します。
AWS アカウントにサインアップするには
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。
AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべてのAWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/
管理アクセスを持つユーザーを作成する
AWS アカウント にサインアップしたら、AWS アカウントのルートユーザー をセキュリティで保護し、AWS IAM Identity Center を有効にして、管理ユーザーを作成します。これにより、日常的なタスクにルートユーザーを使用しないようにします。
AWS アカウントのルートユーザーをセキュリティで保護する
-
ルートユーザー] を選択し、AWS アカウント のメールアドレスを入力して、アカウント所有者として AWS Management Console
にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのルートユーザーとしてサインインするを参照してください。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、IAM ユーザーガイドのAWS アカウント のルートユーザーの仮想 MFA デバイスを有効にする (コンソール)を参照してください。
管理アクセスを持つユーザーを作成する
-
IAM アイデンティティセンターを有効にします。
手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Center の有効化」を参照してください。
-
IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
IAM アイデンティティセンターディレクトリ をアイデンティティソースとして使用するチュートリアルについては、「AWS IAM Identity Center ユーザーガイド」の「デフォルト IAM アイデンティティセンターディレクトリを使用したユーザーアクセスの設定」を参照してください。
管理アクセス権を持つユーザーとしてサインインする
-
IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのAWS アクセスポータルにサインインするを参照してください。
追加のユーザーにアクセス権を割り当てる
プログラム的なアクセス権を付与する
AWS Management Console の外部で AWS を操作するには、ユーザーはプログラムによるアクセスが必要です。プログラマチックアクセス権を付与する方法は、AWS にアクセスしているユーザーのタイプによって異なります。
ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。
プログラマチックアクセス権を必要とするユーザー | 目的 | 方法 |
---|---|---|
ワークフォースアイデンティティ (IAM Identity Center で管理されているユーザー) |
一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。 |
使用するインターフェイス用の手引きに従ってください。
|
IAM | 一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。 | 「IAM ユーザーガイド」の「AWS リソースでの一時的な認証情報の使用」の指示に従ってください。 |
IAM | (非推奨) 長期的な認証情報を使用して、AWS CLI、AWS SDK、AWS API へのプログラムによるリクエストに署名します。 |
使用するインターフェイス用の手順に従ってください。
|
要件の確認
Amazon RDS の基本的な構成要素は DB インスタンスです。DB インスタンスでは、データベースを作成します。DB インスタンスは、エンドポイントというネットワークアドレスを提供します。アプリケーションでは、このエンドポイントを使用して DB インスタンスに接続します。DB インスタンスの作成時に、ストレージ、メモリ、データベースエンジンとバージョン、ネットワーク構成、セキュリティ、メンテナンス期間などの詳細を指定します。DB インスタンスへのネットワークアクセスは、セキュリティグループを通じて制御します。
DB インスタンスとセキュリティグループを作成する前に、DB インスタンスとネットワークに関する要件を理解しておく必要があります。重要な留意事項を以下に示します。
リソース要件 – アプリケーションまたはサービスに関するメモリとプロセッサの要件。これらの設定を使用すると、使用する DB インスタンスクラスを判断するのに役立ちます。DB インスタンスクラスの仕様については、「 DB インスタンスクラス」を参照してください。
VPC、サブネット、セキュリティグループ – DB インスタンスは Virtual Private Cloud (VPC) である可能性が最も高くなります。DB インスタンスに接続するには、セキュリティグループルールを設定する必要があります。これらのルールは、使用する VPC の種類と使用方法に応じて設定が異なります。例えば、デフォルト VPC またはユーザー定義の VPC を使用できます。
各 VPC オプションに関するルールを次に説明します。
-
デフォルト VPC – AWS アカウントのデフォルト VPC が現在の AWS リージョンにある場合、その VPC は DB インスタンスをサポートするように設定されます。DB インスタンスの作成時にデフォルト VPC を指定する場合は、次の操作を行います。
-
アプリケーションやサービスから Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、「ステップ 3: VPC セキュリティグループを作成する」を参照してください。
-
デフォルトの DB サブネットグループを指定します。この AWS リージョンで DB インスタンスを初めて作成した場合、DB インスタンスの作成時にデフォルトの DB サブネットグループが、Amazon RDS により作成されます。
-
-
ユーザー定義の VPC – DB インスタンスの作成時にユーザー定義の VPC を指定する場合は、以下の点に注意します。
-
アプリケーションやサービスから Amazon RDS DB インスタンスへの接続を許可する VPC セキュリティグループを必ず作成します。VPC セキュリティグループを作成するには、VPC コンソールの [Security Group] (セキュリティグループ) オプションまたは AWS CLI を使用します。詳細については、「ステップ 3: VPC セキュリティグループを作成する」を参照してください。
-
DB インスタンスをホストするには、VPC は特定の要件 (2 つ以上のサブネットを保持しており、各サブネットは個別のアベイラビリティーゾーン内にあることなど) を満たす必要があります。詳細については、「Amazon VPC と Amazon RDS」を参照してください。
-
DB インスタンスで使用できる VPC 内のサブネットを定義する DB サブネットグループを必ず指定します。詳細については、「VPC 内の DB インスタンスの使用」の「DB サブネットグループの使用」セクションを参照してください。
-
-
-
高可用性 – フェイルオーバーサポートが必要かどうか。Amazon RDS では、マルチ AZ 配置により、フェイルオーバーのサポート用に、プライマリ DB インスタンスとセカンダリスタンバイ DB インスタンスが別個のアベイラビリティーゾーンに作成されます。本番稼働用のワークロードには、高可用性を維持するためにマルチ AZ 配置をお勧めします。開発およびテストの目的では、マルチ AZ 配置以外のデプロイを使用できます。(詳しくは、「Amazon RDS でのマルチ AZ 配置の設定と管理」を参照してください。)
-
IAM ポリシー – DAmazon RDS オペレーションの実行に必要なアクセス許可を付与するためのポリシーが、自分の AWS アカウントにあるかどうか。IAM 認証情報を使用して AWS に接続している場合、IAM アカウントには、Amazon RDS オペレーションの実行するためのアクセス許可を付与する IAM ポリシーが必要です。(詳しくは、「Amazon RDS での Identity and Access Management」を参照してください。)
-
開いているポート – データベースでリッスンする TCP/IP ポート。一部の企業のファイアウォールでは、データベースエンジン用のデフォルトポートへの接続がブロックされる場合があります。企業のファイアウォールがデフォルトのポートをブロックしている場合は、新しい DB インスタンス用に他のポートを選択します。指定したポートでリッスンする DB インスタンスを作成した場合、DB インスタンスを変更することでポートを変更できます。
AWS リージョン – データベースが必要となる AWS リージョン。アプリケーションやウェブサービスの近くにデータベースを配置すると、ネットワークレイテンシーを低減できます。(詳しくは、「リージョン、アベイラビリティーゾーン、および Local Zones」を参照してください。)
DB ディスクサブシステム – ストレージ要件について検討します。Amazon RDS には、次の 3 つのストレージタイプがあります。
汎用 (SSD)
プロビジョンド IOPS (PIOPS)
-
マグネット式 (標準ストレージとも呼ばれます)
Amazon RDS ストレージの詳細については、「Amazon RDS DB インスタンスストレージ」を参照してください。
セキュリティグループと DB インスタンスの作成に必要な情報を把握したら、次のステップに進みます。
セキュリティグループを作成して VPC 内の DB インスタンスへのアクセスを提供する
VPC セキュリティグループは、VPC 内の DB インスタンスへのアクセスを提供します。セキュリティグループは、関連付けられた DB インスタンスのファイアウォールとして動作し、インバウンドトラフィックとアウトバウンドトラフィックの両方を DB インスタンスレベルで制御します。DB インスタンスはデフォルトでファイアウォールによって作成され、DB インスタンスを保護するデフォルトのセキュリティグループとなります。
DB インスタンスに接続する前に、接続を可能にするルールをセキュリティグループに追加する必要があります。ネットワークと設定に関する情報を使用して、DB インスタンスへのアクセスを許可するルールを作成します。
例えば、アプリケーションから VPC 内にある DB インスタンスのデータベースにアクセスするとします。この場合、カスタム TCP ルールを追加し、アプリケーションからデータベースにアクセスするためのポート範囲と IP アドレスを指定する必要があります。アプリケーションが Amazon EC2 インスタンスにある場合は、Amazon EC2 インスタンスに設定したセキュリティグループを使用できます。
DB インスタンスを作成するときに、Amazon EC2 インスタンスと DB インスタンス間の接続を設定できます。(詳しくは、「EC2 インスタンスとの自動ネットワーク接続を設定する」を参照してください。)
ヒント
DB インスタンスを作成するときに、Amazon EC2 インスタンスと DB インスタンス間のネットワーク接続を自動的に設定できます。(詳しくは、「EC2 インスタンスとの自動ネットワーク接続を設定する」を参照してください。)
DB インスタンスにアクセスするための一般的なシナリオについては、VPC の DB インスタンスにアクセスするシナリオ を参照してください。
VPC セキュリティグループを作成するには
-
AWS Management Console にサインインして、Amazon VPC コンソール (https://console.aws.amazon.com/vpc
) を開きます。 注記
RDS コンソールではなく VPC コンソールにアクセスしていることを確認します。
AWS Management Console の右上隅で、VPC セキュリティグループと DB インスタンスを作成する先の AWS リージョンを選択します。この AWS リージョンにある Amazon VPC リソースのリストには、少なくとも 1 の VPC と複数のサブネットが表示されます。表示されない場合、この AWS リージョンにはデフォルト VPC がありません。
ナビゲーションペインで、[Security Groups] を選択します。
-
[セキュリティグループの作成] を選択します。
[Create security group] (セキュリティグループの作成) ページが表示されます。
[Basic details] (基本的な詳細) で、[Security group name] (セキュリティグループ名) と [Description] (説明) を入力します。[VPC] で、DB インスタンスを作成する先の VPC を選択します。
[Inbound rules] (インバウンドルール) で、[Add rule] (ルールを追加) を選択します。
[タイプ] で [カスタム TCP] を選択します。
[Port range] (ポート範囲) で、DB インスタンスに使用するポート値を入力します。
-
[Source] (ソース) で、セキュリティグループ名を選択するか、DB インスタンスにアクセスする IP アドレスの範囲 (CIDR 値) を入力します。[マイ IP] を選択すると、ブラウザで検出された IP アドレスから DB インスタンスにアクセスできます。
IP アドレスや異なるポート範囲を追加する必要がある場合は、[Add rule] (ルールを追加) を選択し、ルールの情報を入力します。
(オプション) [Outbound rules] (アウトバウンドルール) で、アウトバウンドトラフィックのルールを追加します。デフォルトではすべてのアウトバウンドトラフィックが許可されます。
-
[セキュリティグループの作成] を選択します。
ここで作成した VPC セキュリティグループは、DB インスタンスの作成時にセキュリティグループとして使用できます。
注記
デフォルトの VPC を使用する場合、すべての VPC のサブネットにまたがるデフォルトのサブネットグループが作成されます。DB インスタンスを作成する場合は、デフォルト VPC を選択し、[DB サブネットグループ] の [デフォルト] を使用できます。
セットアップに必要なステップが完了したら、ユーザーの要件とセキュリティグループを利用して、DB インスタンスを作成できます。これを行うには、「Amazon RDS DB インスタンスの作成」の手順に従います。特定の DB エンジンを使用する DB インスタンスを作成して使用を開始する方法については、次の表にある関連ドキュメントを参照してください。
データベースエンジン | ドキュメント |
---|---|
MariaDB |
|
Microsoft SQL Server |
|
MySQL |
|
Oracle |
|
PostgreSQL |
注記
作成後に DB インスタンスに接続できない場合は、「Amazon RDS DB インスタンスに接続できない」のトラブルシューティング情報を参照してください。