Configuração do Amazon RDS - Amazon Relational Database Service

Configuração do Amazon RDS

Antes de usar o Amazon Relational Database Service pela primeira vez, execute as seguintes tarefas:

Se você já tem uma conta da AWS, conhece os requisitos do Amazon RDS e prefere usar os padrões para grupos de segurança do IAM e da VPC, pule para Conceitos básicos do Amazon RDS.

Cadastre-se no AWS

Ao cadastrar-se na AWS, sua conta da AWS é automaticamente cadastrada em todos os produtos da AWS, inclusive no Amazon RDS. Você será cobrado apenas pelos serviços que usar.

Com o Amazon RDS, você paga apenas pelos recursos que usa. A instância de banco de dados do Amazon RDS que você criou ficará ativa (não fica em execução em uma sandbox). Você terá as taxas de utilização padrão do Amazon RDS para cada instância de banco de dados até que a encerre. Para obter mais informações sobre as taxas de uso do Amazon RDS, consulte a página de produtos do Amazon RDS. Se você é um novo cliente da AWS, pode começar a usar o Amazon RDS gratuitamente. Para obter mais informações, consulte Nível gratuito da AWS.

Se você já tiver uma conta da AWS, vá para a próxima seção, Criar um usuário do IAM.

Se você ainda não tiver uma conta da AWS, use o procedimento a seguir para criar uma.

Para criar uma nova conta AWS

  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções online.

    Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um código de verificação usando o teclado do telefone.

Anote o número da conta da AWS, pois você precisará dele na próxima tarefa.

Criar um usuário do IAM

Depois de criar uma conta da AWS e se conectar com êxito ao AWS Management Console, você poderá criar um usuário do AWS Identity and Access Management (IAM). Em vez de iniciar sessão com a sua conta raiz da AWS, recomendamos que você utilize um usuário administrativo do IAM com o Amazon RDS.

Uma maneira de fazer isso é criar um usuário do IAM e lhe conceder permissões de administrador. Se preferir, você pode adicionar um usuário do IAM existente a um grupo do IAM com permissões administrativas do Amazon RDS. Depois você pode acessar a AWS com um URL especial usando credenciais para o usuário do IAM.

Caso tenha se cadastrado na AWS, mas não tenha criado um usuário do IAM para você, poderá criar um usando o console do IAM.

Para criar um usuário administrador para você mesmo e adicionar o usuário a um grupo de administradores (console)

  1. Faça login no console do IAM como proprietário da conta escolhendo Root user (Usuário root) e inserindo o endereço de e-mail da sua Conta da AWS. Na próxima página, insira sua senha.

    nota

    Recomendamos seguir as práticas recomendadas para utilizar o usuário do IAM Administrator a seguir e armazenar as credenciais do usuário raiz com segurança. Cadastre-se como o usuário raiz apenas para executar algumas tarefas de gerenciamento de serviços e contas.

  2. No painel de navegação, escolha Usuários e depois Adicionar usuário.

  3. Em User name (Nome do usuário), digite Administrator.

  4. Marque a caixa de seleção ao lado do acesso ao AWS Management Console. Então, selecione Custom password (Senha personalizada), e insira sua nova senha na caixa de texto.

  5. (Opcional) Por padrão, a AWS exige que o novo usuário crie uma senha ao fazer login pela primeira vez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  6. Escolha Próximo: Permissões.

  7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).

  8. Escolha Create group (Criar grupo).

  9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite Administrators.

  10. Selecione Filter policies (Filtrar políticas) e, em seguida, selecione AWS managed - job function (Função de trabalho gerenciada da AWS) para filtrar o conteúdo da tabela.

  11. Na lista de políticas, marque a caixa de seleção AdministratorAccess. A seguir escolha Criar grupo.

    nota

    Você deve ativar o acesso de usuário do IAM e da função para Billing (Faturamento) antes de usar as permissões de AdministratorAccess para acessar o console do AWS Billing and Cost Management. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

  12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh (Atualizar) caso necessário, para ver o grupo na lista.

  13. Escolha Next: Tags (Próximo: tags).

  14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  15. Escolha Next: Review (Próximo: Análise) para ver uma lista de associações de grupos a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, selecione Criar usuário.

Você pode usar esse mesmo processo para criar mais grupos e usuários e conceder aos seus usuários acesso aos recursos da sua Conta da AWS. Para saber como usar políticas para restringir as permissões de usuário a recursos específicos da AWS, consulte Gerenciamento de acesso e Exemplos de políticas.

Para fazer login como novo usuário do IAM, primeiro desconecte-se do AWS Management Console. Em seguida, use o URL a seguir, em que id_de_sua_conta_da_aws é o número da sua conta da AWS, sem os hifens. Por exemplo, se o seu AWS número de conta for 1234-5678-9012, seu ID de conta AWSserá 123456789012.

https://your_aws_account_id.signin.aws.amazon.com/console/

Digite o nome e a senha de usuário do IAM que você acabou de criar. Quando você está conectado, a barra de navegação exibe "your_user_name @ your_aws_account_id".

Se você não quiser que a URL da página de cadastro contenha o ID da sua conta da AWS, crie um alias da conta. No painel do IAM, selecione Customize (Personalizar) e digite um alias, como o nome da sua empresa. Para fazer o login depois de criar o alias de uma conta, use o seguinte URL.

https://your_account_alias.signin.aws.amazon.com/console/

Para verificar o link de login para usuários do IAM de sua conta, abra o console do IAM e verifique em AWS Account Alias (Alias da conta da AWS), no painel.

Você pode também criar chaves de acesso para a conta AWS. Essas chaves de acesso podem ser usadas para acessar a AWS por meio da AWS Command Line Interface (AWS CLI) ou da API do Amazon RDS. Para obter mais informações, consulte Programmatic access (Acesso programático), Installing, updating, and uninstalling the AWS CLI (Instalar, atualizar e desinstalar a CLI) e a Amazon RDS API Reference (Referência da API do Amazon RDS).

Determinar requisitos

O bloco de construção básico do Amazon RDS é a instância do banco de dados. Em uma instância de banco de dados, você cria seus bancos de dados. Uma instância de banco de dados fornece um endereço de rede chamado de endpoint. Seus aplicativos usam o endpoint para se conectar à instância de banco de dados. Ao criar a instância de banco de dados, você especifica detalhes como armazenamento, memória, mecanismo e versão de banco de dados, configuração de rede, segurança e períodos de manutenção. Você controla o acesso de rede a uma instância de banco de dados por meio de um security group.

Antes de criar uma instância de banco de dados e um security group, você precisa conhecer as necessidades de sua instância de banco de dados e de sua rede. Veja aqui alguns fatores importantes a considerar:

  • Requisitos de recurso – quais são os requisitos de memória e processador de seu aplicativo ou serviço? Você usa essas configurações para ajudá-lo a determinar que classe de instância de banco de dados deve usar. Para conhecer especificações sobre as classes de instâncias de bancos de dados, consulte Classes de instância de banco de dados .

  • VPC, sub-rede e grupo de segurança – é mais provável que sua instância de banco de dados esteja uma nuvem privada virtual (VPC). Para se conectar à sua instância de banco de dados, você precisa definir regras de security group. Essas regras são definidas diferentemente, dependendo do tipo de VPC que você usa e como usa: em uma VPC padrão ou em uma VPC definida pelo usuário.

    A lista a seguir descreve as regras para cada opção da VPC:

    • VPC padrão: se sua conta da AWS tiver uma VPC padrão na região atual da AWS, essa VPC estará configurada para oferecer suporte a instâncias de bancos de dados. Se você especificar a VPC padrão ao criar a instância de banco de dados, faça o seguinte:

      • Você deve criar um grupo de segurança da VPC que autorize conexões da aplicação ou serviço para a instância de banco de dados do Amazon RDS. Use a opção Security Group (Grupo de segurança) no console da VPC ou na AWS CLI para criar grupos de segurança da VPC. Para obter mais informações, consulte Etapa 4: Criar um grupo de segurança da VPC.

      • Especifique o grupo de sub-redes de banco de dados padrão. Se esta for a primeira instância de banco de dados que você criou na região da AWS, o Amazon RDS criará o grupo de sub-redes de banco de dados padrão quando criar a instância de banco de dados.

    • VPC definida pelo usuário – se quiser especificar uma VPC definida pelo usuário ao criar uma instância de banco de dados, esteja ciente do seguinte:

      • Você deve criar um grupo de segurança da VPC que autorize conexões da aplicação ou serviço para a instância de banco de dados do Amazon RDS. Use a opção Security Group (Grupo de segurança) no console da VPC ou na AWS CLI para criar grupos de segurança da VPC. Para obter mais informações, consulte Etapa 4: Criar um grupo de segurança da VPC.

      • A VPC deve atender a certos requisitos para hospedar instâncias de bancos de dados, como ter pelo menos duas sub-redes, cada uma em uma zona de disponibilidade separada. Para obter mais informações, consulte VPCs da Amazon Virtual Private Cloud e do Amazon RDS.

      • Você deve especificar um grupo de sub-redes de banco de dados que defina quais sub-redes nessa VPC podem ser usadas pela instância de banco de dados. Para obter informações, consulte a seção sobre grupos de sub-redes de banco de dados, em Trabalhar com uma instância de banco de dados em uma VPC.

      nota

      Algumas contas legadas não usam uma VPC. Se você estiver acessando uma nova região da AWS ou for um novo usuário do RDS (após 2013), é mais provável que você esteja criando uma instância de banco de dados dentro de uma VPC. Para obter mais informações, consulte Determinar se você está usando a plataforma EC2-VPC ou EC2-Classic.

  • Alta disponibilidade: você precisa de suporte a failover? No Amazon RDS, uma implantação Multi-AZ cria uma instância de banco de dados primária e uma instância de banco de dados em espera (secundária) em outra zona de disponibilidade para suporte de failover. Para manter a alta disponibilidade, recomendamos as implantações Multi-AZ para cargas de trabalho de produção. Para fins de desenvolvimento e teste, você pode usar uma implantação que não seja Multi-AZ. Para obter mais informações, consulte Implantações Multi-AZ para alta disponibilidade.

  • Políticas do IAM: sua conta da AWS tem políticas que concedem as permissões necessárias para executar operações do Amazon RDS? Quando você se conecta à AWS usando credenciais do IAM, sua conta do IAM deve ter políticas do IAM que concedam as permissões necessárias para realizar operações do Amazon RDS. Para obter mais informações, consulte Identity and Access Management no Amazon RDS.

  • Portas abertas: em que porta TCP/IP seu banco de dados ouvirá? O firewall de algumas empresas pode bloquear conexões com a porta padrão para o seu mecanismo de banco de dados. Se o firewall da sua empresa bloquear a porta padrão, escolha outra porta para a nova instância de banco de dados. Depois de criar uma instância de banco de dados que escuta em uma porta específica, você pode alterar essa porta modificando a instância de banco de dados.

  • Região da AWS: Em qual região da AWS você quer seu banco de dados? Ter o banco de dados próximo do aplicativo ou do serviço Web pode reduzir a latência da rede. Para obter mais informações, consulte Regiões, zonas de disponibilidade e Local Zones.

  • Subsistema de disco de banco de dados: quais são suas necessidades de armazenamento? O Amazon RDS fornece três tipos de armazenamento:

    • Magnético (armazenamento padrão)

    • Finalidade geral (SSD)

    • IOPS provisionadas (PIOPS)

    O armazenamento magnético, também chamado de armazenamento padrão, é ideal para aplicativos com requisitos de E/S leves ou intermitentes. O armazenamento de uso geral, com suporte a SSD, também chamado de gp2, pode fornecer acesso mais rápido do que o armazenamento baseado em disco. O armazenamento de IOPS provisionadas foi projetado para atender às necessidades de cargas de trabalho com uso intenso de E/S, particularmente cargas de trabalho de banco de dados, que são sensíveis ao desempenho do armazenamento e à consistência no throughput de E/S de acesso aleatório. Para obter mais informações sobre o armazenamento do Amazon RDS, consulte Armazenamento de instâncias de banco de dados do Amazon RDS.

Quando você tiver as informações necessárias para criar o security group e a instância de banco de dados, continue na próxima etapa.

Fornecer acesso à instância de banco de dados na VPC criando um grupo de segurança

Os security groups de VPC oferecem acesso a instância de banco de dados em uma VPC. Eles atuam como um firewall para a instância de banco de dados associada, controlando o tráfego de entrada e de saída no nível da instância de banco de dados. As instâncias de bancos de dados são criadas por padrão com um firewall e um security group padrão que protege a instância de banco de dados.

Para conseguir se conectar à sua instância de banco de dados, você deve adicionar regras a um grupo de segurança que permita que você se conecte. Use suas informações de rede e configuração para criar regras e permitir acesso à sua instância de banco de dados.

Por exemplo, suponhamos que você tenha um aplicativo que acesse um banco de dados na sua instância de banco de dados em uma VPC. Neste caso, você deve adicionar uma regra TCP personalizada que especifique o intervalo da porta e os endereços IP que seu aplicativo usa para acessar o banco de dados. Se tiver um aplicativo uma instância do Amazon EC2, você poderá usar o grupo de segurança configurado para a instância do Amazon EC2.

Para obter informações sobre cenários comuns para acessar uma instância de banco de dados, consulte Cenários para acessar uma instância de banco de dados em uma VPC.

Para criar um security group de VPC

  1. Faça login no AWS Management Console e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc.

    nota

    Verifique se você está no console da VPC, não no console do RDS.

  2. No canto superior direito do AWS Management Console, escolha a região da AWS na qual quer criar o grupo de segurança da VPC e a instância de banco de dados. Na lista de recursos da Amazon VPC para essa região da AWS, você deve ver pelo menos uma VPC e várias sub-redes. Caso contrário, significa que não há uma VPC padrão na região da AWS em questão.

  3. No painel de navegação, selecione Grupos de segurança.

  4. Escolha Create security group (Criar grupo de segurança).

    A página Create security group (Criar grupo de segurança) é exibida.

  5. Em Basic details (Detalhes básicos), insira o Security group name (Nome do grupo de segurança) e a Description (Descrição). Para VPC escolha a VPC na qual você deseja criar sua instância de banco de dados.

  6. Em Inbound rules (Regras de entrada), escolha Add rule (Adicionar regra).

    1. Em Type (Tipo), escolha Custom TCP (TCP personalizada).

    2. Em Port Range (Intervalo de portas), digite o valor da porta a ser usada para sua instância de banco de dados.

    3. Em Source (Origem), selecione um nome de grupo de segurança ou digite o intervalo de endereços IP (valor CIDR) de onde você acessará a instância. Se você selecionar My IP (Meu IP), isso concederá acesso à instância de banco de dados do endereço IP detectado no navegador.

  7. Se você precisar adicionar mais endereços IP ou intervalos de portas diferentes, escolha Add rule (Adicionar regra) e insira as informações para a regra.

  8. (Opcional) Em Outbound rules (Regras de saída), adicione regras para o tráfego de saída. Por padrão, todo tráfego de saída é permitido.

  9. Escolha Create security group (Criar grupo de segurança).

Você pode usar o security group de VPC que acabou de criar como o security group de sua instância de banco de dados quando a criar.

nota

Se usar uma VPC padrão, será criada para você um grupo de sub-redes padrão distribuídas por todas as sub-redes da VPC. Quando cria uma instância de banco de dados, você pode selecionar a VPC padrão e usar default (padrão) em DB Subnet Group (Grupo de sub-redes de banco de dados).

Depois de concluir os requisitos de configuração, você pode criar uma instância de banco de dados usando seus requisitos e grupo de segurança seguindo as instruções em Criar uma instância de banco de dados do Amazon RDS. Para obter informações sobre como começar criando uma instância de banco de dados que usa um mecanismo de banco de dados específico, consulte a documentação relevante na tabela a seguir.

nota

Se você não conseguir se conectar a uma instância de banco de dados depois de criá-la, consulte as informações de solução de problemas em Não é possível conectar-se à instância de banco de dados do Amazon RDS.