设置 Amazon RDS - Amazon Relational Database Service

设置 Amazon RDS

首次使用 Amazon Relational Database Service 前,请完成以下任务。

如果您已有AWS账户,知道您的 Amazon RDS 要求并且想要使用 IAM 和 VPC 安全组的默认值,请跳至 开始使用 Amazon RDS

获取AWS 账户和您的根用户凭证

要访问AWS,您必须注册一个AWS 账户。

注册 AWS 账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

AWS注册过程完成后,会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/ 并选择 My Account (我的账户) 来查看当前的账户活动并管理您的账户。

创建 IAM 用户

如果您的账户中已包含具有完整AWS管理权限的 IAM 用户,则可以跳过此部分。

首次创建 Amazon Web Services (AWS) 账户时,您将以单一登录身份开始。此身份具有对账户中所有 AWS 服务和资源的完全访问权限。此身份称作 AWS 账户根用户。在登录时,请输入您用于创建账户的电子邮件地址和密码。

重要

强烈建议您不使用根用户执行日常任务,即使是管理任务。相反,请遵循仅使用根用户创建您的第一个 IAM 用户的最佳实践。然后请妥善保存根用户凭证,仅用它们执行少数账户和服务管理任务。要查看需要您以根用户身份登录的任务,请参阅需要根用户凭证的任务

自行创建管理员用户并将该用户添加到管理员组(控制台)

  1. 选择 Root user(根用户)并输入您的 AWS 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台。在下一页上,输入您的密码。

    注意

    强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践,妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。

  2. 在导航窗格中,选择 Users(用户),然后选择 Add users(添加用户)。

  3. 对于 User name(用户名),输入 Administrator

  4. 选中 AWS Management Console access (AWS Management Console 管理控制台访问)旁边的复选框。然后选择自定义密码,并在文本框中输入新密码。

  5. (可选)默认情况下,AWS要求新用户在首次登录时创建新密码。您可以清除 User must create a new password at next sign-in(用户必须在下次登录时创建新密码)旁边的复选框以允许新用户在登录后重置其密码。

  6. 选择下一步: 权限

  7. 设置权限下,选择将用户添加到组

  8. 选择创建组

  9. Create group(创建组)对话框中,对于 Group name(组名称),输入 Administrators

  10. 选择 Filter policies(筛选策略),然后选择 AWS managed - job function(AWS 托管 – 工作职能)以筛选表内容。

  11. 在策略列表中,选中 AdministratorAccess 的复选框。然后选择 Create group(创建组)。

    注意

    您必须先激活 IAM 用户和角色对账单的访问权限,然后才能使用 AdministratorAccess 权限访问 AWS Billing and Cost Management 控制台。为此,请按照“向账单控制台委派访问权限”教程第 1 步中的说明进行操作。

  12. 返回到组列表中,选中您的新组所对应的复选框。如有必要,选择 Refresh(刷新)以在列表中查看该组。

  13. 选择下一步: 标签

  14. (可选) 通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 IAM 用户指南中的标记 IAM 实体

  15. 选择 Next: Review(下一步:审核)以查看要添加到新用户的组成员资格的列表。如果您已准备好继续,请选择 Create user(创建用户)。

您可使用这一相同的流程创建更多组和用户,并允许您的用户访问 AWS 账户 资源。要了解有关使用策略限制用户对特定 AWS 资源的权限的信息,请参阅访问管理示例策略

作为 IAM 用户登录

通过选择 IAM user (IAM 用户) 并输入您的AWS 账户 ID 或账户别名来登录 IAM 控制台。在下一页上,输入您的 IAM 用户名和密码。

注意

为方便起见,AWS登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录过,请选择此按钮下面的登录链接,返回登录主页。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 AWS 账户 ID 或账户别名。

创建 IAM 用户访问密钥

访问密钥包含访问密钥 ID 和秘密访问密钥,用于签署对 AWS 发出的编程请求。如果没有访问密钥,您可以使用进行创建AWS Management Console。作为最佳实践,请勿在不必要时对任何任务使用AWS 账户根用户访问密钥。而是为自己创建一个具有访问密钥的新管理员 IAM 用户

仅当创建访问密钥时,您才能查看或下载秘密访问密钥。以后您无法恢复它们。不过,您随时可以创建新的访问密钥。您还必须拥有执行所需 IAM 操作的权限。有关更多信息,请参阅 IAM 用户指南中的访问 IAM 资源所需的权限

为 IAM 用户创建访问密钥

  1. 登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Users(用户)。

  3. 选择要为其创建访问密钥的用户的名称,然后选择 Security credentials (安全凭证) 选项卡。

  4. Access keys(访问密钥)部分中,选择 Create access key(创建访问密钥)。

  5. 要查看新访问密钥对,请选择 Show (显示)。关闭此对话框后,您将无法再次访问该秘密访问密钥。您的凭证与下面类似:

    • 访问密钥 ID:AKIAIOSFODNN7EXAMPLE

    • 秘密访问密钥:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. 要下载密钥对,请选择 Download .csv file(下载 .csv 文件)。将密钥存储在安全位置。关闭此对话框后,您将无法再次访问该秘密访问密钥。

    请对密钥保密以保护您的AWS 账户,切勿通过电子邮件发送密钥。请勿对企业外部共享密钥,即使有来自 AWS 或 Amazon.com 的询问。合法代表 Amazon 的任何人永远都不会要求您提供密钥。

  7. 下载 .csv 文件之后,选择 Close (关闭)。在创建访问密钥时,预设情况下,密钥对处于活动状态,并且您可以立即使用此密钥对。

相关主题

确定要求

Amazon RDS 的基本构建基块是数据库实例。在数据库实例中,您可以创建数据库。数据库实例提供了称为终端节点 的网络地址。您的应用程序使用此终端节点连接到您的数据库实例。在创建数据库实例时,您指定存储、内存、数据库引擎和版本、网络配置、安全性以及维护时段等详细信息。您通过安全组控制对数据库实例的网络访问。

在创建数据库实例和安全组之前,您必须知道数据库实例和网络需求。下面是要考虑的一些重要事项:

  • 资源要求 – 应用程序或服务的内存和处理器要求是什么? 您使用这些设置来帮助您确定要使用哪个数据库实例类。有关数据库实例类的规范,请参阅 数据库实例类

  • VPC、子网和安全组 – 您的数据库实例很可能在一个 Virtual Private Cloud (VPC) 中。要连接到数据库实例,您需要设置安全组规则。根据您使用的 VPC 的类型和您使用它的方式,设置这些规则的方式有所不同:在默认 VPC 中或在用户定义的 VPC 中。

    下面的列表说明每个 VPC 选项的规则:

    • 默认 VPC – 如果您的AWS账户在当前AWS区域内有一个默认 VPC,则该 VPC 将配置为支持数据库实例。如果您在创建数据库实例时指定默认 VPC,请执行以下操作:

      • 确保创建一个 VPC 安全组,该安全组对从应用程序或服务到 Amazon RDS 数据库实例的连接进行授权。使用 VPC 控制台中的 Security Group (安全组) 选项或 AWS CLI 创建 VPC 安全组。有关信息,请参阅 步骤 4:创建 VPC 安全组

      • 指定默认数据库子网组。如果这是您在此AWS区域内创建的第一个数据库实例,则 Amazon RDS 将在创建数据库实例时创建默认的数据库子网组。

    • 用户定义的 VPC – 如果您希望在创建数据库实例时指定用户定义的 VPC,请了解以下内容:

      • 确保创建一个 VPC 安全组,该安全组对从应用程序或服务到 Amazon RDS 数据库实例的连接进行授权。使用 VPC 控制台中的 Security Group (安全组) 选项或 AWS CLI 创建 VPC 安全组。有关信息,请参阅 步骤 4:创建 VPC 安全组

      • 该 VPC 必须满足特定要求才能托管数据库实例,例如至少拥有两个子网,每个子网分别位于一个独立的可用区中。有关信息,请参阅 Amazon Virtual Private Cloud VPC 和 Amazon RDS

      • 确保指定数据库子网组,以定义数据库实例可以使用该 VPC 中的哪些子网。有关信息,请参阅在 VPC 中使用数据库实例中的“数据库子网组”部分。

      注意

      一些传统账户不使用 VPC。如果您访问新 AWS 区域或您是新的 RDS 用户 (2013 年后),则您最有可能在 VPC 中创建数据库实例。有关更多信息,请参阅“确定您使用的是 EC2-VPC 还是 EC2-Classic 平台”。

  • 高可用性:是否需要故障转移支持? 在 Amazon RDS 上,多可用区部署会创建一个主数据库实例,并在另一个可用区中创建第二个备用数据库实例以支持故障转移。我们建议将多可用区部署用于生产工作负载以保持高可用性。对于开发和测试用途,您可以使用不是多可用区的部署。有关更多信息,请参阅“多可用区部署,可实现高可用性”。

  • IAM 策略:您的AWS账户是否具有相应策略来授予执行 Amazon RDS 操作所需的权限? 如要使用 IAM 证书连接到AWS,您的 IAM 账户必须拥有 IAM 政策来授予执行 Amazon RDS 操作所需的权限。有关更多信息,请参阅“Amazon RDS 中的 Identity and Access Management”。

  • 开放端口:您的数据库侦听哪个 TCP/IP 端口? 有些公司的防火墙可能会阻止与您的数据库引擎的默认端口进行连接。如果您公司的防火墙不允许连接默认端口,请为新数据库实例选择其他端口。在创建对指定端口进行侦听的数据库实例后,您可以通过修改该数据库实例来更改端口。

  • AWS区域:您希望您的数据库位于哪个AWS区域内? 通过让数据库紧邻应用程序或 Web 服务,可以减小网络延迟。有关更多信息,请参阅“区域、可用区和 Local Zones”。

  • 数据库磁盘子系统:您的存储要求是什么? Amazon RDS 提供三种存储类型:

    • 磁介质 (标准存储)

    • 通用型 (SSD)

    • 预置 IOPS (PIOPS)

    磁介质存储提供经济高效的存储,是具有轻量级或突发式 I/O 要求的应用程序的理想选择。支持 SSD 的通用型存储 (也称为 gp2) 可提供比基于磁盘的存储更快的访问。预置 IOPS 存储为满足 I/O 密集型工作负载 (尤其是数据库工作负载) 的需求而设计。此类工作负载对随机存取 I/O 吞吐量的存储性能和一致性十分敏感。有关 Amazon RDS 存储的更多信息,请参阅Amazon RDS 数据库实例存储

在了解创建安全组和数据库实例所需的信息之后,请继续执行下一步。

通过创建安全组提供对 VPC 中的数据库实例的访问

VPC 安全组提供了对 VPC 中的数据库实例的访问权。它们充当关联数据库实例的防火墙,在数据库实例级别控制入站和出站流量。默认情况下,系统将创建带防火墙和默认安全组 (用于保护数据库实例) 的数据库实例。

在连接到数据库实例之前,必须先向允许连接的安全组添加规则。使用网络和配置信息来创建允许访问数据库实例的规则。

例如,假设您有一个访问 VPC 中的数据库实例上的数据库的应用程序。在这种情况下,您必须添加指定应用程序用于访问数据库的端口范围和 IP 地址的自定义 TCP 规则。如果您有位于 Amazon EC2 实例上的应用程序,则可以使用您为 Amazon EC2 实例设置的安全组。

有关访问数据库实例的常见场景的信息,请参阅 在 VPC 中访问数据库实例的方案

创建 VPC 安全组

  1. 登录到AWS Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc

    注意

    确保您在 VPC 控制台中,而不是 RDS 控制台。

  2. 在 AWS Management Console 的右上角,选择要在其中创建 VPC 安全组和数据库实例的 AWS 区域。在该AWS区域的 Amazon VPC 资源列表中,您应看到至少一个 VPC 和多个子网。如果您没有看到,则说明您在该 AWS 区域中没有默认 VPC。

  3. 在导航窗格中,选择 Security Groups

  4. 选择创建安全组

    此时将显示 Create security group (创建安全组) 页面。

  5. Basic details (基本详细信息) 中,输入 Security group name (安全组名称)Description (描述)。对于 VPC,选择要在其中创建数据库实例的 VPC。

  6. Inbound rules (入站规则) 中,请选择 Add rule (添加规则)

    1. 对于 Type (类型),选择 Custom TCP (自定义TCP)

    2. 对于 Port range (端口范围),输入要用于数据库实例的端口值。

    3. 对于 Source (源),选择安全组名称或键入您从中访问数据库实例的 IP 地址范围(CIDR 值)。如果您选择我的 IP,这会允许从浏览器中检测到的 IP 地址访问数据库实例。

  7. 如果需要添加更多 IP 地址或不同的端口范围,请选择 Add rule (添加规则) 并输入规则的信息。

  8. (可选)在 Outbound rules (出站规则) 中,为出站流量添加规则。默认情况下,允许所有出站流量。

  9. 选择创建安全组

在创建数据库实例时,您可以使用刚创建的 VPC 安全组作为数据库实例的安全组。

注意

如果您使用默认 VPC,则为您创建跨越该 VPC 的所有子网的默认子网组。在创建数据库实例时,您可以选择默认 VPC 并为数据库子网组选择默认

完成设置要求后,可以按照 创建 Amazon RDS 数据库实例 中的说明使用您的要求和安全组创建数据库实例。有关通过创建使用特定数据库引擎的数据库实例的入门信息,请参阅下表中的相关文档。

注意

如果在创建数据库实例后无法连接到该实例,请参阅无法连接到 Amazon RDS 数据库实例中的故障排除信息。