Configuração do Amazon RDS - Amazon Relational Database Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração do Amazon RDS

Conclua as tarefas nesta seção para configurar o Amazon Relational Database Service (Amazon RDS) pela primeira vez. Se você já possui uma conta da AWS, conhece seus requisitos do Amazon RDS e prefere usar os padrões para grupos de segurança do IAM e da VPC, pule para Conceitos básicos.

Algumas coisas que você deve saber sobre a Amazon Web Services (AWS):

  • Ao se cadastrar na AWS, sua conta AWS tem acesso automático a todos os serviços da AWS, incluindo o Amazon RDS. Entretanto, você será cobrado apenas pelos serviços que usar.

  • Com o Amazon RDS, você paga somente pelas instâncias de RDS que ficam ativas. A instância de banco de dados do Amazon RDS que você criou ficará ativa (não executada em uma sandbox). Você terá as taxas de utilização padrão do Amazon RDS pela instância até que a encerre. Para obter mais informações sobre as taxas de uso do Amazon RDS, consulte a página de produtos do Amazon RDS.

Cadastre-se na AWS

Se já tiver uma conta da AWS, vá para a próxima seção, Criar um usuário do IAM.

Se ainda não tiver uma conta da AWS, poderá usar o procedimento a seguir para criar uma. Se for cliente novo da AWS, você poderá começar a usar gratuitamente o Amazon RDS. Para obter mais informações, consulte Nível de uso gratuito da AWS.

Para criar uma nova conta da AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um código de verificação usando o teclado do telefone.

Criar um usuário do IAM

Depois de criar uma conta da AWS e se conectar com sucesso ao Console de gerenciamento da AWS, você poderá criar um usuário do AWS Identity and Access Management (IAM). Em vez de iniciar sessão com a sua conta raiz da AWS, recomendamos que você utilize um usuário administrativo do IAM com o Amazon RDS.

Uma maneira de fazer isso é criar um usuário do IAM e lhe conceder permissões de administrador. Se preferir, você pode adicionar um usuário do IAM existente a um grupo do IAM com permissões administrativas do Amazon RDS. Depois você pode acessar a AWS com um URL especial usando credenciais para o usuário do IAM.

Se você tiver se cadastrado na AWS, mas não tiver criado um usuário do IAM para você mesmo, poderá criar um usando o console do IAM.

Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo de administradores (console)

  1. Entre no console do IAM como o proprietário da conta escolhendo usuário raiz e inserindo o endereço de e-mail de sua da conta AWS. Na próxima página, insira sua senha.

    nota

    Recomendamos que você siga as melhores práticas para utilizar o usuário do Administrator IAM abaixo e armazene as credenciais do usuário raiz com segurança. Cadastre-se como usuário raiz para executar somente algumas tarefas de gerenciamento de serviços e contas.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Em User name (Nome do usuário), digite Administrator.

  4. Marque a caixa de seleção ao lado de Console de gerenciamento da AWS access (Acesso ao &console;). Então, selecione Custom password (Senha personalizada), e insira sua nova senha na caixa de texto.

  5. (Opcional) Por padrão, a AWS exige que o novo usuário crie uma senha ao fazer login pela primeira vez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  6. Escolha Próximo: Permissões.

  7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).

  8. Escolha Create group (Criar grupo).

  9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite Administrators.

  10. Escolha Filter policies (Filtrar políticas) e, depois, selecione AWS managed -job function (Função de trabalho gerenciado pela &AWS;) para filtrar o conteúdo de tabelas.

  11. Na lista de políticas, marque a caixa de seleção AdministratorAccess. A seguir escolha Criar grupo.

    nota

    Você deve ativar o acesso de usuário e função do IAM ao faturamento para poder usar as permissões do AdministratorAccess a fim de acessar o console do AWS Billing and Cost Management. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

  12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh (Atualizar) caso necessário, para ver o grupo na lista.

  13. Escolha Next: Tags (Próximo: tags).

  14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  15. Escolha Next: Review (Próximo: Análise) para ver uma lista de associações de grupos a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.

Você pode usar esse mesmo processo para criar mais grupos e usuários e conceder aos seus usuários acesso aos recursos de sua conta da AWS. Para saber como usar políticas para restringir as permissões de usuário a recursos específicos da AWS, acesse Gerenciamento de acesso e Políticas de exemplo.

Para fazer login como novo usuário do IAM, primeiro saia do Console de gerenciamento da AWS. Em seguida, use o URL a seguir, onde your_aws_account_id é o número da sua conta na AWS, sem os hifens. Por exemplo, se o seu número de conta da AWS for 1234-5678-9012, seu ID de conta da AWS será 123456789012.

https://your_aws_account_id.signin.aws.amazon.com/console/

Digite o nome e a senha de usuário do IAM que você acabou de criar. Quando você está conectado, a barra de navegação exibe "your_user_name @ your_aws_account_id".

Se não quiser que o URL da página de cadastro contenha o ID da sua conta da AWS, crie um alias da conta. No painel do IAM, selecione Customize (Personalizar) e digite um alias, como o nome da sua empresa. Para fazer o login depois de criar o alias de uma conta, use o seguinte URL.

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar o link de login para usuários do IAM da sua conta, abra o console do IAM e verifique AWS Account Alias (Alias da conta da AWS), no painel.

Você pode também criar chaves de acesso para a conta da AWS. Essas chaves de acesso podem ser usadas para acessar a AWS por meio da AWS Command Line Interface (AWS CLI) ou da API do Amazon RDS. Para obter mais informações, consulte Acesso programático, Instalar a AWS CLI e a Referência de API do Amazon RDS.

Determinar requisitos

O bloco de construção básico do Amazon RDS é a instância do banco de dados. Em uma instância de banco de dados, você cria seus bancos de dados. Uma instância de banco de dados fornece um endereço de rede chamado de endpoint. Seus aplicativos usam o endpoint para se conectar à instância de banco de dados. Ao criar a instância de banco de dados, você especifica detalhes como armazenamento, memória, mecanismo e versão de banco de dados, configuração de rede, segurança e períodos de manutenção. Você controla o acesso de rede a uma instância de banco de dados por meio de um security group.

Antes de criar uma instância de banco de dados e um security group, você precisa conhecer as necessidades de sua instância de banco de dados e de sua rede. Veja aqui alguns fatores importantes a considerar:

  • Requisitos de recurso – quais são os requisitos de memória e processador de seu aplicativo ou serviço? Você usa essas configurações para ajudá-lo a determinar que classe de instância de banco de dados deve usar. Para conhecer especificações sobre as classes de instâncias de bancos de dados, consulte Classes da instância de banco de dados.

  • VPC, sub-rede e grupo de segurança – é mais provável que sua instância de banco de dados esteja uma nuvem privada virtual (VPC). Para se conectar à sua instância de banco de dados, você precisa definir regras de security group. Essas regras são definidas diferentemente, dependendo do tipo de VPC que você usa e como usa: uma VPC padrão, em uma VPC definida pelo usuário, ou fora de uma VPC.

    nota

    Algumas contas legadas não usam uma VPC. Se estiver acessando uma nova região da AWS ou for um novo usuário do RDS (após 2013), é mais provável que você esteja criando uma instância de banco de dados dentro de uma VPC.

    Para obter informações sobre como determinar se sua conta tem uma VPC padrão em uma região da AWS específica, consulte Determinar se você está usando a plataforma EC2-VPC ou EC2-Classic.

    A lista a seguir descreve as regras para cada opção da VPC:

    • VPC padrão – se a sua conta da AWS tiver uma VPC padrão na região atual da AWS, essa VPC estará configurada para oferecer suporte a instâncias de bancos de dados. Se você especificar a VPC padrão ao criar a instância de banco de dados, faça o seguinte:

      • Crie um grupo de segurança da VPC que autorize conexões do aplicativo ou serviço para a instância de banco de dados do Amazon RDS com o banco de dados. Use a API do Amazon EC2 ou a opção Security Group (Grupo de segurança) no console da VPC para criar grupos de segurança da VPC. Para obter informações, consulte Etapa 4: Criar um grupo de segurança da VPC.

      • Especifique o grupo de sub-redes de banco de dados padrão. Se esta for a primeira instância de banco de dados que você criou na região da AWS, o Amazon RDS criará o grupo de sub-redes de banco de dados padrão quando criar a instância de banco de dados.

    • VPC definida pelo usuário – se quiser especificar uma VPC definida pelo usuário ao criar uma instância de banco de dados, esteja ciente do seguinte:

      • Você deve criar um grupo de segurança da VPC que autorize conexões do aplicativo ou serviço para a instância de banco de dados do Amazon RDS com o banco de dados. Use a API do Amazon EC2 ou a opção Security Group (Grupo de segurança) no console da VPC para criar grupos de segurança da VPC. Para obter mais informações, consulte Etapa 4: Criar um grupo de segurança da VPC.

      • A VPC deve atender a certos requisitos para hospedar instâncias de bancos de dados, como ter pelo menos duas sub-redes, cada uma em uma zona de disponibilidade separada. Para obter mais informações, consulte VPCs da Amazon Virtual Private Cloud e do Amazon RDS.

      • Você deve especificar um grupo de sub-redes de banco de dados que defina quais sub-redes nessa VPC podem ser usadas pela instância de banco de dados. Para obter informações, consulte a seção sobre grupos de sub-redes de banco de dados, em Trabalhar com uma instância de banco de dados em uma VPC.

    • Nenhuma VPC – se a sua conta da AWS não tiver uma VPC padrão e você não especificar uma VPC definida pelo usuário, crie um grupo de segurança de banco de dados. Um grupo de segurança de banco de dados autoriza conexões dos dispositivos e instâncias do Amazon RDS que executam os aplicativos ou utilitários que acessarão os bancos de dados na instância de banco de dados. Para obter mais informações, consulte Trabalhar com grupos de segurança de banco de dados (plataforma EC2-Classic).

  • Alta disponibilidade: você precisa de suporte a failover? No Amazon RDS, uma implantação Multi-AZ cria uma instância de banco de dados primária e uma instância de banco de dados em espera (secundária) em outra zona de disponibilidade para suporte de failover. Para manter a alta disponibilidade, recomendamos as implantações Multi-AZ para cargas de trabalho de produção. Para fins de desenvolvimento e teste, você pode usar uma implantação que não seja Multi-AZ. Para obter mais informações, consulte Alta disponibilidade (Multi-AZ) para Amazon RDS.

  • Políticas do IAM: sua conta da AWS tem políticas que concedem as permissões necessárias para execução de operações do Amazon RDS? Quando você se conecta à AWS usando credenciais do IAM, sua conta do IAM deve ter políticas do IAM que concedam as permissões necessárias para realizar operações do Amazon RDS. Para obter mais informações, consulte Identity and Access Management no Amazon RDS.

  • Portas abertas: em que porta TCP/IP seu banco de dados ouvirá? O firewall de algumas empresas pode bloquear conexões com a porta padrão para o seu mecanismo de banco de dados. Se o firewall da sua empresa bloquear a porta padrão, escolha outra porta para a nova instância de banco de dados. Depois de criar uma instância de banco de dados que escuta em uma porta específica, você pode alterar essa porta modificando a instância de banco de dados.

  • Região da AWS: em que região da AWS você deseja seu banco de dados? Ter o banco de dados próximo do aplicativo ou do serviço Web pode reduzir a latência da rede.

  • Subsistema de disco de banco de dados: quais são suas necessidades de armazenamento? O Amazon RDS oferece três tipos de armazenamento:

    • Magnético (armazenamento padrão)

    • Finalidade geral (SSD)

    • IOPS provisionadas (PIOPS)

    O armazenamento magnético, também chamado de armazenamento padrão, é ideal para aplicativos com requisitos de E/S leves ou intermitentes. O armazenamento de uso geral, com suporte a SSD, também chamado de gp2, pode fornecer acesso mais rápido do que o armazenamento baseado em disco. O armazenamento de IOPS provisionadas foi projetado para atender às necessidades de cargas de trabalho com uso intenso de E/S, particularmente cargas de trabalho de banco de dados, que são sensíveis ao desempenho do armazenamento e à consistência no throughput de E/S de acesso aleatório. Para obter mais informações sobre o armazenamento do Amazon RDS, consulte Armazenamento de instâncias de banco de dados do Amazon RDS.

Quando você tiver as informações necessárias para criar o security group e a instância de banco de dados, continue na próxima etapa.

Fornecer acesso à instância de banco de dados na VPC criando um grupo de segurança

Os security groups de VPC oferecem acesso a instância de banco de dados em uma VPC. Eles atuam como um firewall para a instância de banco de dados associada, controlando o tráfego de entrada e de saída no nível da instância. As instâncias de bancos de dados são criadas por padrão com um firewall e um security group padrão que protege a instância de banco de dados.

Para conseguir se conectar à sua instância de banco de dados, você deve adicionar regras a um security group que permita que você se conecte. Use suas informações de rede e configuração para criar regras e permitir acesso à sua instância de banco de dados.

nota

Se sua instância de banco de dados legada tiver sido criada antes de março de 2013 e não estiver em uma VPC, é provável que não security groups associados. Se sua instância de banco de dados tiver sido criada após essa data, é provável que esteja em uma VPC padrão.

Por exemplo, suponhamos que você tenha um aplicativo que acesse um banco de dados na sua instância de banco de dados em uma VPC. Neste caso, você deve adicionar uma regra TCP personalizada que especifique o intervalo da porta e os endereços IP que seu aplicativo usa para acessar o banco de dados. Se tiver um aplicativo uma instância do Amazon EC2, você poderá usar o grupo de segurança configurado para a instância do Amazon EC2.

Para criar um security group de VPC

  1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc.

  2. No canto superior direito do Console de gerenciamento da AWS, selecione a região da AWS em que deseja criar seu security group da VPC e a instância de banco de dados. A lista de recursos da Amazon VPC para essa região da AWS, você deve ver pelo menos uma VPC e várias sub-redes. Caso contrário, significa que não há uma VPC padrão na região da AWS em questão.

  3. No painel de navegação, selecione Grupos de segurança.

  4. Escolha Create Security Group.

  5. Na janela Create Security Group (Criar grupo de segurança), digite valores Name tag (Tag de nome), Group name (Nome do grupo) e Description (Descrição) para o seu grupo de segurança. Para VPC escolha a VPC na qual você deseja criar sua instância de banco de dados. Escolha Yes, Create (Sim, criar).

  6. O security group de VPC que você criou ainda deve estar selecionado. Do contrário, localize-o a lista e escolha-o. O painel de detalhes na parte inferior da janela do console exibe os detalhes do security group e as guias para trabalhar com regras de entrada e saída. Escolha a guia Inbound Rules (Regras de entrada).

  7. Na guia Inbound Rules, escolha Edit.

    1. Para Tipo, escolha Regra TCP personalizada.

    2. Em Port Range (Intervalo de portas), digite o valor da porta a ser usada para sua instância de banco de dados.

    3. Em Source (Origem), selecione um nome de grupo de segurança ou digite o intervalo de endereços IP (valor CIDR) de onde você acessará a instância. Se você selecionar My IP (Meu IP), isso concederá acesso à instância de banco de dados do endereço IP detectado no navegador.

  8. Escolha Add another rule (Adicionar outra regra) se precisar adicionar mais endereços IP ou intervalos de portas diferentes.

  9. (Opcional) Use a guia Outbound Rules (Regras de saída) para adicionar regras de tráfego de saída. Por padrão, todo tráfego de saída é permitido.

Você pode usar o security group de VPC que acabou de criar como o security group de sua instância de banco de dados quando a criar. Se sua instância de banco de dados não for estar em uma VPC, consulte Trabalhar com grupos de segurança de banco de dados (plataforma EC2-Classic) para criar um security group de banco de dados a ser usado na criação da sua instância de banco de dados.

nota

Se usar uma VPC padrão, será criada para você um grupo de sub-redes padrão distribuídas por todas as sub-redes da VPC. Quando cria uma instância de banco de dados, você pode selecionar a VPC padrão e usar default (padrão) em DB Subnet Group (Grupo de sub-redes de banco de dados).

Assim que completar os requisitos de configuração, poderá iniciar uma instância de banco de dados usando seus requisitos e security group. Para obter informações sobre como criar uma instância de banco de dados, consulte a documentação relevante na tabela a seguir.

nota

Se você não conseguir se conectar a uma instância de banco de dados depois de criá-la, consulte as informações de solução de problemas em Não é possível conectar-se à instância de banco de dados do Amazon RDS.