コンソールにサインインする
Amazon Relational Database Service
ユーザーガイド

AWS ドキュメント » Amazon Relational Database Service (RDS) » ユーザーガイド » Amazon RDS でのセキュリティ » Amazon Virtual Private Cloud VPC および Amazon RDS » チュートリアル: DB インスタンスで使用する Amazon VPC の作成

チュートリアル: DB インスタンスで使用する Amazon VPC の作成

Amazon VPC 内の DB インスタンスは一般的なシナリオに含まれていて、同じ VPC で実行しているウェブサーバーとデータを共有します。このチュートリアルでは、このシナリオの VPC を作成します。

以下の図に、このシナリオを示しています。その他のシナリオについては、VPC の DB インスタンスにアクセスするシナリオ を参照してください。

VPC と EC2 のセキュリティグループのシナリオ

DB インスタンスはウェブサーバーでのみ必要で、パブリックインターネットには必要ないため、VPC をパブリックサブネットおよびプライベートサブネットの両方で作成します。ウェブサーバーはパブリックサブネットでホストされることで、パブリックインターネットにアクセスできます。DB インスタンスはプライベートサブネットでホストされます。ウェブサーバーは同じ VPC 内でホストされるため、DB インスタンスに接続できます。しかし、DB インスタンスはパブリックインターネットでは使用できないため、セキュリティがより強固です。

VPC をプライベートサブネットおよびパブリックサブネットで作成する

以下の手順で、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。

VPC とサブネットを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. AWS マネジメントコンソールの右上隅で、VPC を作成するリージョンを選択します。この例では、米国西部 (オレゴン) リージョンを使用します。

  3. 左上隅の [VPC Dashboard] を選択します。VPC の作成を開始するには、[Start VPC Wizard (VPC ウィザードの起動)] を選択します。

  4. [Step 1: Select a VPC Configuration] ページで [VPC with Public and Private Subnets] を選択し、[Select] を選択します。

  5. [Step 2: VPC with Public and Private Subnets] ページで、次の値を設定します。

    • [IPv4 CIDR ブロック:] 10.0.0.0/16

    • [IPv6 CIDR ブロック:] IPv6 CIDR ブロックなし

    • VPC 名: tutorial-vpc

    • [パブリックサブネットの IPv4 CIDR:] 10.0.0.0/24

    • アベイラビリティーゾーン: us-west-2a

    • パブリックサブネット名: Tutorial public

    • [プライベートサブネットの IPv4 CIDR:] 10.0.1.0/24

    • アベイラビリティーゾーン: us-west-2a

    • プライベートサブネット名: Tutorial Private 1

    • インスタンスタイプ: t2.small

      重要

      コンソールに [インスタンスタイプ] ボックスが表示されない場合は、[Use a NAT instance instead] を選択します。このリンクは右側にあります。

      注記

      t2.small インスタンスタイプが表示されていない場合は、別のインスタンスタイプを選択できます。

    • キーペア名: No key pair

    • [サービスエンドポイント:] このフィールドはスキップします。

    • DNS ホスト名を有効化: Yes

    • ハードウェアのテナンシー: Default

  6. 完了したら、[Create VPC] を選択します。

追加のサブネットの作成

VPC で使用する DB インスタンスの DB サブネットグループを作成するには、利用可能な 2 つのプライベートサブネットまたは 2 つのパブリックサブネットが必要です。このチュートリアルの DB インスタンスはプライベートであるため、VPC に 2 つめのプライベートサブネットを追加します。

追加のサブネットを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. 2 つめのプライベートサブネットを VPC に追加するには、[VPC ダッシュボード]、[サブネット]、[サブネットの作成] の順に選択します。

  3. [サブネットの作成] ページで、以下の値を設定します。

    • 名前タグ: Tutorial private 2

    • VPC: 前のステップで作成した VPC を選択します (例: vpc-identifier (10.0.0.0/16) | tutorial-vpc)。

    • アベイラビリティーゾーン: us-west-2b

      注記

      第 1 のプライベートサブネットに選んだものとは別のアベイラビリティーゾーンを選択します。

    • [IPv4 CIDR ブロック:] 10.0.2.0/24

  4. 完了したら、[作成] を選択します。次に、確認ページで [閉じる] を選択します。

  5. 作成した第 2 のプライベートサブネットで第 1 のプライベートサブネットと同じルートテーブルを使用するには、[VPC ダッシュボード] を選択し、[サブネット] を選択してから、VPC 用に作成した第 1 のサブネット (Tutorial private 1) を選択します。

  6. [ルートテーブル] タブを選択し、[ルートテーブル] の値をメモします (たとえば rtb-98b613fd など)。

  7. サブネットリストから第 1 のプライベートサブネットの選択を外します。

  8. サブネットのリストで、第 2 のプライベートサブネット Tutorial private 2 を選択し、[ルートテーブル] を選択します。

  9. 現在のルートテーブルが第 1 のプライベートサブネットと同じルートテーブルではない場合は、[Edit route table association (ルートテーブルの関連付けの編集)] を選択します。[ルートテーブル ID] で、前にメモしたルートテーブル (rtb-98b613fd など) を選択します。次に、選択を保存するには [保存] を選択します。

パブリックウェブサーバーの VPC セキュリティグループを作成する

次に、パブリックアクセスのためのセキュリティグループを作成します。VPC 内のパブリックインスタンスに接続するには、インターネットから接続するトラフィックを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. [VPC ダッシュボード]、[セキュリティグループ]、[セキュリティグループの作成] の順に選択します。

  3. [セキュリティグループの作成] ページで、以下の値を設定します。

    • セキュリティグループ名: tutorial-securitygroup

    • 説明: Tutorial Security Group

    • VPC: 先に作成した VPC を選択します (例: vpc-identifier (10.0.0.0/16) | tutorial-vpc)。

  4. セキュリティグループを作成するには、[作成] を選択します。次に、確認ページで [閉じる] を選択します。

    セキュリティグループ ID を書き留めます。このチュートリアルで後に必要になります。

セキュリティグループにインバウンドルールを追加するには

  1. VPC のインスタンスへの接続に使用する IP アドレスを決定します。パブリック IP アドレスを決定するには、https://checkip.amazonaws.com のサービスを使用できます。IP アドレスの例は 203.0.113.25/32 です。

    インターネットサービスプロバイダー (ISP) 経由で、またはファイアウォールの内側から静的 IP アドレスなしで接続する場合は、クライアントコンピューターで使用されている IP アドレスの範囲を見つける必要があります。

    警告

    0.0.0.0/0 を使用すると、すべての IP アドレスがパブリックインスタンスにアクセスできます。この方法は、テスト環境で短時間なら許容できますが、実稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。

  2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  3. [VPC Dashboard] を選択し、[Security Groups] を選択してから、前の手順で作成した tutorial-securitygroup セキュリティグループを選択します。

  4. セキュリティグループのリストで、[インバウンドルール] タブ、[ルールの編集] の順に選択します。

  5. [インバウンドルールの編集] ページで、[ルールの追加] を選択します。

  6. 新しいインバウンドルールに次の値を設定して、EC2 インスタンスへの Secure Shell (SSH) アクセスを許可します。こうすることで、EC2 インスタンスに接続してウェブサーバーや他のユーティリティをインストールし、コンテンツをウェブサーバーにアップロードできます。

    • タイプ: SSH

    • ソース: ステップ 1 で指定した IP アドレスまたはアドレス範囲 (203.0.113.25/32 など)

  7. [Add rule] を選択します。

  8. 新しいインバウンドルールに次の値を設定して、ウェブサーバーに HTTP へのアクセスを許可します。

    • タイプ: HTTP

    • ソース: 0.0.0.0/0

  9. 設定を保存するには [ルールの保存] を選択します。次に、確認ページで [閉じる] を選択します。

プライベート DB インスタンスの VPC セキュリティグループの作成

DB インスタンスをプライベートのままにするには、プライベートアクセス用の第 2 のセキュリティグループを作成します。VPC 内の専用インスタンスに接続するには、ウェブサーバーからのみトラフィックを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. [VPC ダッシュボード]、[セキュリティグループ]、[セキュリティグループの作成] の順に選択します。

  3. [セキュリティグループの作成] ページで、以下の値を設定します。

    • セキュリティグループ名: tutorial-db-securitygroup

    • 説明: Tutorial DB Instance Security Group

    • VPC: 先に作成した VPC を選択します (例: vpc-identifier (10.0.0.0/16) | tutorial-vpc)。

  4. セキュリティグループを作成するには、[作成] を選択します。次に、確認ページで [閉じる] を選択します。

セキュリティグループにインバウンドルールを追加するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. [VPC Dashboard] を選択し、[Security Groups] を選択してから、前の手順で作成した tutorial-db-securitygroup セキュリティグループを選択します。

  3. セキュリティグループのリストで、[インバウンドルール] タブ、[ルールの編集] の順に選択します。

  4. [インバウンドルールの編集] ページで、[ルールの追加] を選択します。

  5. 新しいインバウンドルールに次の値を設定して、EC2 インスタンスからポート 3306 への MySQL トラフィックを許可します。こうすることで、ウェブサーバーから DB インスタンスに接続して、ウェブアプリケーションからのデータをデータベースに保存して取得できます。

    • タイプ: MySQL/Aurora

    • Source: このチュートリアルで以前に作成した tutorial-securitygroup セキュリティグループの ID (例: sg-9edd5cfb)。

  6. 設定を保存するには [ルールの保存] を選択します。次に、確認ページで [閉じる] を選択します。

DB サブネットグループを作成する

DB サブネットグループは VPC に作成するサブネットのコレクションで、DB インスタンス用に指定します。DB サブネットグループでは、DB インスタンスの作成時に特定の VPC を指定することができます。

DB サブネットグループを作成する方法

  1. https://console.aws.amazon.com/rds/ にある Amazon RDS コンソールを開きます。

  2. [Navigation] ペインで、[Subnet groups] を選択します。

  3. [Create DB Subnet Group] を選択します。

  4. [DB サブネットグループを作成する] ページで、[サブネットグループの詳細] に値を設定します。

    • 名前: tutorial-db-subnet-group

    • 説明: Tutorial DB Subnet Group

    • VPC: tutorial-vpc (vpc-identifier)

  5. [Add subnets (サブネットの追加)] で、[Add all the subnets related to this VPC (この VPC に関連するすべてのサブネットを追加)] を選択します。

  6. [作成] を選択します。

    RDS コンソールの DB サブネットグループリストに新しい DB サブネットグループが表示されます。DB サブネットグループをクリックすると、ウィンドウ下部の詳細ペインに、そのグループに関連付けられたすべてのサブネットなどの詳細を表示することができます。