コンソールにサインインする
Amazon Relational Database Service
ユーザーガイド (API バージョン 2014-10-31)

AWS ドキュメント » Amazon Relational Database Service (RDS) » ユーザーガイド » Amazon RDS​ でのセキュリティの設定 » Amazon Virtual Private Cloud (VPC) および Amazon RDS » チュートリアル: Amazon RDS DB インスタンスで使用する Amazon VPC の作成

チュートリアル: Amazon RDS DB インスタンスで使用する Amazon VPC の作成

Amazon VPC 内の Amazon RDS DB インスタンスは一般的なシナリオに含まれていて、同じ VPC で実行しているウェブサーバーとデータを共有します。このチュートリアルでは、このシナリオの VPC を作成します。

以下の図に、このシナリオを示しています。その他のシナリオについては、VPC の DB インスタンスにアクセスするシナリオ を参照してください。

VPC と EC2 のセキュリティグループのシナリオ

Amazon RDS DB インスタンスはウェブサーバーのみで使用できればよくパブリックインターネットには必要ないため、VPC をパブリックサブネットおよびプライベートサブネットの両方で作成します。ウェブサーバーはパブリックサブネットでホストされることで、パブリックインターネットにアクセスできます。Amazon RDS DB インスタンスはプライベートサブネットでホストされます。ウェブサーバーは同じ VPC 内でホストされるため、Amazon RDS DB インスタンスに接続できます。しかし、Amazon RDS DB インスタンスはパブリックインターネットでは使用できないため、セキュリティがより強固です。

VPC をプライベートサブネットおよびパブリックサブネットで作成する

以下の手順で、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。

VPC とサブネットを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. AWS マネジメントコンソールの右上隅で、VPC を作成するリージョンを選択します。この例では、米国西部 (オレゴン) リージョンを使用します。

  3. 左上隅の [VPC Dashboard] を選択します。VPC の作成を開始するには、[Start VPC Wizard] を選択します。

  4. [Step 1: Select a VPC Configuration] ページで [VPC with Public and Private Subnets] を選択し、[Select] を選択します。

  5. [Step 2: VPC with Public and Private Subnets] ページで、次の値を設定します。

    • [IPv4 CIDR ブロック:] 10.0.0.0/16

    • [IPv6 CIDR ブロック:] IPv6 CIDR ブロックなし

    • VPC 名: tutorial-vpc

    • [パブリックサブネットの IPv4 CIDR:] 10.0.0.0/24

    • アベイラビリティーゾーン: us-west-2a

    • パブリックサブネット名: Tutorial public

    • [プライベートサブネットの IPv4 CIDR:] 10.0.1.0/24

    • アベイラビリティーゾーン: us-west-2a

    • プライベートサブネット名: Tutorial Private 1

    • インスタンスタイプ: t2.small

      重要

      コンソールに [Instance type] ボックスが表示されない場合は、[Use a NAT instance instead] をクリックします。このリンクは右側にあります。

      注記

      t2.small インスタンスタイプが指定されていない場合は、異なるインスタンスタイプを選択できます。

    • キーペア名: No key pair

    • [サービスエンドポイント:] このフィールドはスキップします。

    • DNS ホスト名を有効化: Yes

    • ハードウェアのテナンシー: Default

  6. 完了したら、[Create VPC] を選択します。

追加のサブネットの作成

VPC で使用する RDS DB インスタンスの Amazon RDS DB サブネットグループを作成するには、利用可能な 2 つのプライベートサブネットまたは 2 つのパブリックサブネットが必要です。このチュートリアルの RDS DB インスタンスはプライベートであるため、VPC に 2 つめのプライベートサブネットを追加します。

追加のサブネットを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. 2 つめのプライベートサブネットを VPC に追加するには、[VPC Dashboard] を選択し、[Subnets] を選択してから、[Create Subnet] を選択します。

  3. [Create Subnet] ページで、次の値を設定します。

    • 名前タグ: Tutorial private 2

    • VPC: 前のステップで作成した VPC を選択します (例: vpc-identifier (10.0.0.0/16) | tutorial-vpc)。

    • アベイラビリティーゾーン: us-west-2b

      注記

      第 1 のプライベートサブネットに選んだものとは別のアベイラビリティーゾーンを選択します。

    • [IPv4 CIDR ブロック:] 10.0.2.0/24

  4. 完了したら、[Yes, Create] を選択します。

  5. 作成した第 2 のプライベートサブネットで第 1 のプライベートサブネットと同じルートテーブルを使用するには、[VPC ダッシュボード] を選択し、[サブネット] を選択してから、VPC 用に作成した第 1 のサブネット (Tutorial private 1) を選択します。

  6. [ルートテーブル] タブを選択し、[ルートテーブル] の値をメモします (たとえば rtb-98b613fd など)。

  7. サブネットリストから第 1 のプライベートサブネットの選択を外します。

  8. サブネットのリストで、第 2 のプライベートサブネット Tutorial private 2 を選択し、[ルートテーブル] を選択します。

  9. 現在のルートテーブルが第 1 のプライベートサブネットと同じルートテーブルではない場合は、[編集] を選択します。[変更先] で、前にメモしたルートテーブル —(rtb-98b613fd など) を選択します。

  10. 選択を保存するには [Save] を選択します。

パブリックウェブサーバーの VPC セキュリティグループを作成する

次に、パブリックアクセスのためのセキュリティグループを作成します。VPC 内のパブリックインスタンスに接続するには、インターネットから接続するトラフィックを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. [VPC Dashboard] を選択し、[Security Groups] を選択してから、[Create Security Group] を選択します。

  3. [セキュリティグループの作成] ページで、次の値を設定します。

    • 名前タグ: tutorial-securitygroup

    • グループ名: tutorial-securitygroup

    • 説明: Tutorial Security Group

    • VPC: 先に作成した VPC を選択します (例: vpc-identifier (10.0.0.0/16) | tutorial-vpc)。

  4. セキュリティグループを作成するには、[Yes, Create] を選択します。

セキュリティグループにインバウンドルールを追加するには

  1. VPC のインスタンスへの接続に使用する IP アドレスを決定します。パブリック IP アドレスを決定するには、https://checkip.amazonaws.com のサービスを使用できます。IP アドレスの例は 203.0.113.25/32 です。

    インターネットサービスプロバイダー (ISP) 経由で、またはファイアウォールの内側から静的 IP アドレスなしで接続する場合は、クライアントコンピューターで使用されている IP アドレスの範囲を見つける必要があります。

    警告

    0.0.0.0/0 を使用すると、すべての IP アドレスがパブリックインスタンスにアクセスできます。この方法は、テスト環境で短時間なら許容できますが、実稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。

  2. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  3. [VPC Dashboard] を選択し、[Security Groups] を選択してから、前の手順で作成した tutorial-securitygroup セキュリティグループを選択します。

  4. [Inbound Rules] タブを選択してから、[Edit] を選択します。

  5. 新しいインバウンドルールに次の値を設定して、EC2 インスタンスへの Secure Shell (SSH) アクセスを許可します。こうすることで、EC2 インスタンスに接続してウェブサーバーや他のユーティリティをインストールし、コンテンツをウェブサーバーにアップロードできます。

    • タイプ: SSH (22)

    • ソース: ステップ 1 で指定した IP アドレスまたはアドレス範囲 (203.0.113.25/32 など)

  6. [別のルールの追加] を選択します。

  7. 新しいインバウンドルールに次の値を設定して、ウェブサーバーに HTTP へのアクセスを許可します。

    • タイプ: HTTP (80)

    • ソース: 0.0.0.0/0

  8. 設定を保存するには [Save] を選択します。

プライベート Amazon RDS DB インスタンスの VPC セキュリティグループの作成

Amazon RDS DB インスタンスをプライベートのままにするには、プライベートアクセスのための第 2 のセキュリティグループを作成します。VPC 内の専用インスタンスに接続するには、ウェブサーバーからのみトラフィックを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. [VPC Dashboard] を選択し、[Security Groups] を選択してから、[Create Security Group] を選択します。

  3. [セキュリティグループの作成] ページで、次の値を設定します。

    • 名前タグ: tutorial-db-securitygroup

    • グループ名: tutorial-db-securitygroup

    • 説明: Tutorial DB Instance Security Group

    • VPC: 先に作成した VPC を選択します (例: vpc-identifier (10.0.0.0/16) | tutorial-vpc)。

  4. セキュリティグループを作成するには、[Yes, Create] を選択します。

セキュリティグループにインバウンドルールを追加するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. [VPC Dashboard] を選択し、[Security Groups] を選択してから、前の手順で作成した tutorial-db-securitygroup セキュリティグループを選択します。

  3. [Inbound Rules] タブを選択してから、[Edit] を選択します。

  4. 新しいインバウンドルールに次の値を設定して、EC2 インスタンスからポート 3306 への MySQL トラフィックを許可します。こうすることで、ウェブサーバーから DB インスタンスに接続して、ウェブアプリケーションからのデータをデータベースに保存して取得できます。

    • タイプ: MySQL/Aurora (3306)

    • Source: このチュートリアルで以前に作成した tutorial-securitygroup セキュリティグループの ID (例: sg-9edd5cfb)。

  5. 設定を保存するには [Save] を選択します。

DB サブネットグループを作成する

DB サブネットグループは VPC に作成するサブネットのコレクションで、DB インスタンス用に指定します。DB サブネットグループでは、DB インスタンスの作成時に特定の VPC を指定することができます。

DB サブネットグループを作成する方法

  1. https://console.aws.amazon.com/rds/ にある Amazon RDS コンソールを開きます。

  2. [Navigation] ペインで、[Subnet groups] を選択します。

  3. [Create DB Subnet Group] を選択します。

  4. [DB サブネットグループを作成する] ページで、[サブネットグループの詳細] に値を設定します。

    • 名前: tutorial-db-subnet-group

    • 説明: Tutorial DB Subnet Group

    • VPC: tutorial-vpc (vpc-identifier)

  5. [サブネットの追加] セクションで、[この VPC に関連するすべてのサブネットを追加します] リンクをクリックします。

  6. [Create] を選択します。

    RDS コンソールの DB サブネットグループリストに新しい DB サブネットグループが表示されます。DB サブネットグループをクリックすると、ウィンドウ下部の詳細ペインに、そのグループに関連付けられたすべてのサブネットなどの詳細を表示することができます。