Configuração de seu ambiente para Amazon Aurora - Amazon Aurora

Configuração de seu ambiente para Amazon Aurora

Antes de usar o Amazon Aurora pela primeira vez, execute as seguintes tarefas:

Caso você já tenha uma conta da AWS, conheça os requisitos do Aurora e prefira usar os padrões para grupos de segurança do IAM e da VPC, pule para Conceitos básicos do Amazon Aurora .

Cadastre-se no AWS

Ao cadastrar-se na AWS, sua conta da AWS é automaticamente cadastrada em todos os produtos da AWS, inclusive no Amazon RDS. Você será cobrado apenas pelos serviços que usar.

Com o Amazon RDS, você paga apenas pelos recursos que usa. O cluster de banco de dados do Amazon RDS que você criou fica ativo (não fica em execução em uma sandbox). Você incorre nas taxas de uso padrão do Amazon RDS de cada cluster de banco de dados até encerrá-lo. Para obter mais informações sobre as taxas de uso do Amazon RDS, consulte a página de produtos do Amazon RDS. Se você é um novo cliente da AWS, pode começar a usar o Amazon RDS gratuitamente. Para obter mais informações, consulte Nível gratuito da AWS.

Se você já tiver uma conta da AWS, vá para a próxima seção, Criar um usuário do IAM.

Se você ainda não tiver uma conta da AWS, use o procedimento a seguir para criar uma.

Para criar uma nova conta AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um código de verificação usando o teclado do telefone.

Anote o número da conta da AWS, pois você precisará dele na próxima tarefa.

Criar um usuário do IAM

Depois de criar uma conta da AWS e se conectar com êxito ao AWS Management Console, você poderá criar um usuário do AWS Identity and Access Management (IAM). Em vez de iniciar sessão com a sua conta raiz da AWS, recomendamos que você utilize um usuário administrativo do IAM com o Amazon RDS.

Uma maneira de fazer isso é criar um usuário do IAM e lhe conceder permissões de administrador. Se preferir, você pode adicionar um usuário do IAM existente a um grupo do IAM com permissões administrativas do Amazon RDS. Depois você pode acessar a AWS com um URL especial usando credenciais para o usuário do IAM.

Se você se cadastrou na AWS, mas não criou um usuário do IAM para você, crie um usando o console do IAM.

Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo de administradores (console)

  1. Faça login no console do IAM como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.

    nota

    Recomendamos seguir as práticas recomendadas para utilizar o usuário do IAM Administrator a seguir e armazenar as credenciais do usuário raiz com segurança. Cadastre-se como o usuário raiz apenas para executar algumas tarefas de gerenciamento de serviços e contas.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Em User name (Nome do usuário), digite Administrator.

  4. Marque a caixa de seleção ao lado do acesso ao AWS Management Console. Então, selecione Custom password (Senha personalizada), e insira sua nova senha na caixa de texto.

  5. (Opcional) Por padrão, a AWS exige que o novo usuário crie uma senha ao fazer login pela primeira vez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  6. Escolha Próximo: Permissões.

  7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).

  8. Escolha Create group (Criar grupo).

  9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite Administrators.

  10. Selecione Filter policies (Filtrar políticas) e, em seguida, selecione AWS managed - job function (Função de trabalho gerenciada da AWS) para filtrar o conteúdo da tabela.

  11. Na lista de políticas, marque a caixa de seleção AdministratorAccess. A seguir escolha Criar grupo.

    nota

    Você deve ativar o acesso de usuário do IAM e da função para Billing (Faturamento) antes de usar as permissões de AdministratorAccess para acessar o console do AWS Billing and Cost Management. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

  12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh (Atualizar) caso necessário, para ver o grupo na lista.

  13. Escolha Next: Tags (Próximo: tags).

  14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  15. Escolha Next: Review (Próximo: Análise) para ver uma lista de associações de grupos a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.

Você pode usar esse mesmo processo para criar mais grupos e usuários e conceder aos seus usuários acesso aos recursos da sua Conta da AWS. Para saber como usar políticas para restringir as permissões de usuário a recursos específicos da AWS, consulte Gerenciamento de acesso e Exemplos de políticas.

Para fazer login como esse novo usuário do IAM, faça logout no console da AWS e use a seguinte URL, em que your_aws_account_id é o número de sua conta da AWS sem hifens (por exemplo, se o número da conta da AWS é 1234-5678-9012, o ID da conta da AWS é 123456789012):

https://your_aws_account_id.signin.aws.amazon.com/console/

Insira o nome e a senha de usuário do IAM que você acabou de criar. Quando você está conectado, a barra de navegação exibe "your_user_name @ your_aws_account_id".

Se você não quiser que a URL da página de cadastro contenha o ID da sua conta da AWS, crie um alias da conta. No painel do IAM, escolha Customize (Personalizar) e insira um alias, por exemplo, o nome da sua empresa. Para fazer o login depois de criar o alias de uma conta, use o seguinte URL:

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar o link de login para usuários do IAM de sua conta, abra o console do IAM e verifique em AWS Account Alias (Alias da conta da AWS), no painel.

Você pode também criar chaves de acesso para a conta AWS. Essas chaves de acesso podem ser usadas para acessar a AWS por meio da AWS Command Line Interface (AWS CLI) ou da API do Amazon RDS. Para obter mais informações, consulte Programmatic access (Acesso programático), Installing, updating, and uninstalling the AWS CLI (Instalar, atualizar e desinstalar a CLI) e a Amazon RDS API Reference (Referência da API do Amazon RDS).

Determinar requisitos

O bloco de construção básico do Aurora é o cluster do banco de dados. Uma ou mais instâncias de banco de dados podem pertencer a um cluster de banco de dados. Um cluster de banco de dados fornece um endereço de rede chamado de endpoint de cluster. Seus aplicativos se conectam ao endpoint de cluster exposto pelo cluster de banco de dados sempre que precisam acessar os bancos de dados criados nesse cluster de banco de dados. As informações que você especifica ao criar o cluster de banco de dados controla elementos de configuração, como memória, mecanismo de banco de dados e versão, configuração de rede, segurança e períodos de manutenção.

Antes de criar um cluster de banco de dados e um grupo de segurança, você deve conhecer suas necessidades de rede e cluster de banco de dados. Veja aqui alguns fatores importantes a considerar:

  • Requisitos de recurso – quais são os requisitos de memória e processador de seu aplicativo ou serviço? Você usará essas configurações ao determinar que classe de instância de banco de dados você usará quando criar seu cluster de banco de dados. Para conhecer especificações sobre as classes de instâncias de bancos de dados, consulte Classes de instância de banco de dados Aurora.

  • VPC, sub-rede e grupo de segurança – Seu cluster de banco de dados estará em uma nuvem privada virtual (VPC). As regras do grupo de segurança deve ser configuradas na conexão com um cluster de banco de dados. A lista a seguir descreve as regras para cada opção da VPC:

    • VPC padrão: se sua conta da AWS tiver uma VPC padrão na região da AWS, essa VPC estará configurada para oferecer suporte a clusters de bancos de dados. Se você especificar a VPC padrão ao criar o cluster de banco de dados:

      • Você deve criar um grupo de segurança da VPC que autorize conexões da aplicação ou serviço com o cluster de banco de dados do Aurora. Use a opção Security Group (Grupo de segurança) no console da VPC ou na AWS CLI para criar grupos de segurança da VPC. Para obter mais informações, consulte Etapa 4: Criar um grupo de segurança da VPC.

      • Você deve especificar o grupo de sub-redes de banco de dados padrão. Se este for o primeiro cluster de banco de dados que você criou na região da AWS, o Amazon RDS criará o grupo de sub-redes de banco de dados padrão quando criar o cluster de banco de dados.

    • VPC definida pelo usuário — Se quiser especificar uma VPC definida pelo usuário ao criar um cluster de banco de dados:

      • Você deve criar um grupo de segurança da VPC que autorize conexões da aplicação ou serviço com o cluster de banco de dados do Aurora. Use a opção Security Group (Grupo de segurança) no console da VPC ou na AWS CLI para criar grupos de segurança da VPC. Para obter mais informações, consulte Etapa 4: Criar um grupo de segurança da VPC.

      • A VPC deve atender a certos requisitos para hospedar clusters de bancos de dados, como ter pelo menos duas sub-redes, cada uma em uma zona de disponibilidade separada. Para obter mais informações, consulte VPCs da Amazon Virtual Private Cloud e do Amazon Aurora.

      • Você deve especificar um grupo de sub-redes de banco de dados que defina quais sub-redes nessa VPC podem ser usadas pelo cluster de banco de dados. Para obter informações, consulte a seção sobre grupos de sub-redes de banco de dados, em Trabalhar com uma instância de banco de dados em uma VPC.

  • Alta disponibilidade: você precisa de suporte a failover? No Aurora, uma implantação Multi-AZ cria uma instância primária e réplicas do Aurora. Você pode configurar a instância primária e réplicas do Aurora para estarem em zonas de disponibilidade diferentes para suporte de failover. Para manter a alta disponibilidade, recomendamos as implantações Multi-AZ para cargas de trabalho de produção. Para fins de desenvolvimento e teste, você pode usar uma implantação que não seja Multi-AZ. Para obter mais informações, consulte Alta disponibilidade do Amazon Aurora.

  • Políticas do IAM: sua conta da AWS tem políticas que concedem as permissões necessárias para executar operações do Amazon RDS? Quando você se conecta à AWS usando credenciais do IAM, sua conta do IAM deve ter políticas do IAM que concedam as permissões necessárias para realizar operações do Amazon RDS. Para obter mais informações, consulte Identity and Access Management no Amazon Aurora.

  • Portas abertas: Em que porta TCP/IP seu banco de dados ouvirá? O firewall de algumas empresas pode bloquear conexões com a porta padrão para o seu mecanismo de banco de dados. Se o firewall da sua empresa bloquear a porta padrão, escolha outra porta para o novo cluster de banco de dados. Observe que, depois de criar um cluster de banco de dados que escuta em uma porta específica, você pode alterar essa porta modificando o cluster de banco de dados.

  • Região da AWS: Em qual região da AWS você quer seu banco de dados? Ter o banco de dados próximo do aplicativo ou do serviço Web pode reduzir a latência da rede. Para obter mais informações, consulte Regiões e zonas de disponibilidade.

Quando você tiver as informações necessárias para criar o grupo de segurança e o cluster de banco de dados, continue na próxima etapa.

Fornecer acesso ao cluster de banco de dados na VPC criando um grupo de segurança

Seu cluster de banco de dados será criado em uma VPC. Grupos de segurança fornecem acesso ao cluster de banco de dados na VPC. Eles atuam como um firewall para o cluster de banco de dados associada, controlando o tráfego de entrada e de saída no nível do cluster. Os clusters de bancos de dados são criados por padrão com um firewall e um grupo de segurança padrão que impede o acesso ao cluster de banco de dados. Portanto, você deve adicionar regras a um grupo de segurança que permitam que você se conecte ao cluster de banco de dados. Use as informações de rede e configuração que você determinou na etapa anterior para criar regras para permitir o acesso ao seu cluster de banco de dados.

Por exemplo, se você tiver um aplicativo que acessará um banco de dados no seu cluster de banco de dados em uma VPC, deverá adicionar uma regra de TCP personalizada que especifique o alcance da porta e os endereços IP que a aplicação usará para acessar o banco de dados. Se você tiver um aplicativo em um cluster do Amazon EC2, poderá usar o grupo de segurança da VPC configurado para o cluster do Amazon EC2.

Para obter mais informações sobre como criar uma VPC para uso com o Aurora, consulte Como criar uma VPC a ser usada com o Amazon Aurora. Para obter informações sobre cenários comuns para acessar uma instância de banco de dados, consulte Cenários para acessar uma instância de banco de dados em uma VPC.

Para criar um security group de VPC

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc.

    nota

    Verifique se você está no console da VPC, não no console do RDS.

  2. No canto superior direito do AWS Management Console, escolha a região da AWS na qual quer criar o grupo de segurança da VPC e o cluster de banco de dados. Na lista de recursos da Amazon VPC para essa região da AWS, você deve ver pelo menos uma VPC e várias sub-redes. Caso contrário, significa que não há uma VPC padrão na região da AWS em questão.

  3. No painel de navegação, selecione Grupos de segurança.

  4. Escolha Create security group (Criar grupo de segurança).

    A página Create security group (Criar grupo de segurança) é exibida.

  5. Em Basic details (Detalhes básicos), insira o Security group name (Nome do grupo de segurança) e a Description (Descrição). Para VPC, escolha a VPC na qual você deseja criar seu cluster de banco de dados.

  6. Em Inbound rules (Regras de entrada), escolha Add rule (Adicionar regra).

    1. Em Type (Tipo), escolha Custom TCP (TCP personalizada).

    2. Em Port range (Intervalo de portas), insira o valor da porta a ser usado para o cluster de banco de dados.

    3. Em Source (Origem), selecione um nome de grupo de segurança ou digite o intervalo de endereços IP (valor CIDR) de onde você acessará o cluster de banco de dados. Se você selecionar My IP (Meu IP), isso concederá acesso ao cluster de banco de dados do endereço IP detectado no navegador.

  7. Se você precisar adicionar mais endereços IP ou intervalos de portas diferentes, escolha Add rule (Adicionar regra) e insira as informações para a regra.

  8. (Opcional) Em Outbound rules (Regras de saída), adicione regras para o tráfego de saída. Por padrão, todo tráfego de saída é permitido.

  9. Escolha Create security group (Criar grupo de segurança).

Você pode usar o grupo de segurança de VPC que acabou de criar como o grupo de segurança do seu cluster de banco de dados quando você o criar.

nota

Se usar uma VPC padrão, será criada para você um grupo de sub-redes padrão distribuídas por todas as sub-redes da VPC. Ao criar um cluster de banco de dados, você pode selecionar a VPC padrão e usar default (padrão) em DB Subnet Group (Grupo de sub-redes de banco de dados).

Depois de concluir os requisitos de configuração, você pode criar um cluster de banco de dados usando seus requisitos e grupo de segurança seguindo as instruções em Criar um cluster de banco de dados do Amazon Aurora. Para obter informações sobre como começar criando um cluster de banco de dados que usa um mecanismo de banco de dados específico, consulte Conceitos básicos do Amazon Aurora.