设置 Amazon RDS - Amazon Relational Database Service
注册AWS创建 IAM 用户确定要求提供对数据库实例的访问权限

设置 Amazon RDS

首次使用 Amazon Relational Database Service 前,请完成以下任务:

  1. 注册AWS

  2. 创建 IAM 用户

  3. 确定要求

  4. 通过创建安全组提供对 VPC 中的数据库实例的访问

如果您已有AWS账户,知道您的 Amazon RDS 要求并且想要使用 IAM 和 VPC 安全组的默认值,请跳至 开始使用 Amazon RDS

注册AWS

在注册AWS时,系统将在AWS中为您的AWS账户自动注册所有服务,包括 Amazon RDS。您只需为使用的服务付费。

借助 Amazon RDS,您仅需为实际使用的资源付费。您创建的 Amazon RDS 数据库实例处于活跃状态(不在沙盒中运行)。您需要为每个数据库实例支付标准 Amazon RDS 使用费,直到您终止该实例。有关 Amazon RDS 使用费率的更多信息,请参阅 Amazon RDS 产品页面。如果您是新的AWS客户,则可开始免费使用 Amazon RDS;有关更多信息,请参阅AWS免费套餐

如果您已有 AWS 账户,请跳至下一部分:创建 IAM 用户

如果您还没有 AWS 账户,可以使用以下步骤创建。

创建新的 AWS 账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

请记下您的 AWS 账号,因为在下一个任务中您会用到它。

创建 IAM 用户

创建AWS账户并成功连接到AWS Management Console后,您可以创建 AWS Identity and Access Management(IAM)用户。不要使用您的AWS根账户进行登录,我们建议您对 Amazon RDS 使用 IAM 管理用户。

执行该操作的一种方法是创建新的 IAM 用户并向其授予管理员权限。或者,您可以将现有 IAM 用户添加到具有 Amazon RDS 管理权限的 IAM 组。然后,您可以使用 IAM 用户的凭证从专门的 URL 访问AWS。

如果您已注册AWS但尚未为自己创建 IAM 用户,则可以使用 IAM 控制台自行创建。

自行创建管理员用户并将该用户添加到管理员组(控制台)

  1. 选择 Root user (根用户) 并输入您的 AWS 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台。在下一页上,输入您的密码。

    注意

    强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践,妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。

  2. 在导航窗格中,选择用户,然后选择添加用户

  3. 对于 User name (用户名),输入 Administrator

  4. 选中 AWS Management Console 访问旁边的复选框。然后选择自定义密码,并在文本框中输入新密码。

  5. (可选)默认情况下,AWS 要求新用户在首次登录时创建新密码。您可以清除 User must create a new password at next sign-in (用户必须在下次登录时创建新密码) 旁边的复选框以允许新用户在登录后重置其密码。

  6. 选择下一步: 权限

  7. 设置权限下,选择将用户添加到组

  8. 选择创建组

  9. Create group (创建组) 对话框中,对于 Group name (组名称),输入 Administrators

  10. 选择 Filter policies (筛选策略),然后选择 AWS managed - job function (AWS 托管的工作职能) 以筛选表内容。

  11. 在策略列表中,选中 AdministratorAccess 的复选框。然后选择 Create group (创建组)

    注意

    您必须先激活 IAM 用户和角色对账单的访问权限,然后才能使用 AdministratorAccess 权限访问 AWS Billing and Cost Management 控制台。为此,请按照“向账单控制台委派访问权限”教程第 1 步中的说明进行操作。

  12. 返回到组列表中,选中您的新组所对应的复选框。如有必要,选择 Refresh 以在列表中查看该组。

  13. 选择下一步: 标签

  14. (可选)通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅 IAM 用户指南中的标记 IAM 实体

  15. 选择 Next: Review (下一步: 审核) 以查看要添加到新用户的组成员资格的列表。如果您已准备好继续,请选择 Create user

您可使用这一相同的流程创建更多组和用户,并允许您的用户访问 AWS 账户 资源。要了解有关使用策略限制用户对特定 AWS 资源的权限的信息,请参阅访问管理示例策略

要以新 IAM 用户的身份登录,请先从AWS Management Console注销。然后使用以下 URL,其中 your_aws_account_id 是您的不带连字符的AWS账号。例如,如果您的 AWS 账号是 1234-5678-9012,则您的 AWS 账户 ID 是 123456789012

https://your_aws_account_id.signin.aws.amazon.com/console/

键入您刚创建的 IAM 用户名和密码。登录后,导航栏显示 your_user_name @ your_aws_account_id

如果您不希望您的登录页面 URL 包含 AWS 账户 ID,可以创建账户别名。从 IAM 控制面板上,选择自定义并键入别名,例如,您的公司名称。要在创建账户别名后登录,请使用以下 URL。 

https://your_account_alias.signin.aws.amazon.com/console/

要为您的账户验证 IAM 用户的登录链接,请打开 IAM 控制台并在控制面板的 AWS Account Alias (亚马逊云科技账户别名) 下进行检查。

您也可以为您的 AWS 账户创建访问密钥。这些访问密钥可用于通过 AWS Command Line Interface(AWS CLI) 或 Amazon RDS API 访问AWS。有关更多信息,请参阅编程访问安装、更新和卸载 AWS CLI,以及 Amazon RDS API 参考

确定要求

Amazon RDS 的基本构建基块是数据库实例。在数据库实例中,您可以创建数据库。数据库实例提供了称为终端节点 的网络地址。您的应用程序使用此终端节点连接到您的数据库实例。在创建数据库实例时,您指定存储、内存、数据库引擎和版本、网络配置、安全性以及维护时段等详细信息。您通过安全组控制对数据库实例的网络访问。

在创建数据库实例和安全组之前,您必须知道数据库实例和网络需求。下面是要考虑的一些重要事项:

  • 资源要求 – 应用程序或服务的内存和处理器要求是什么? 您使用这些设置来帮助您确定要使用哪个数据库实例类。有关数据库实例类的规范,请参阅 数据库实例类

  • VPC、子网和安全组 – 您的数据库实例很可能在一个 Virtual Private Cloud (VPC) 中。要连接到数据库实例,您需要设置安全组规则。根据您使用的 VPC 的类型和您使用它的方式,设置这些规则的方式有所不同:在默认 VPC 中或在用户定义的 VPC 中。

    下面的列表说明每个 VPC 选项的规则:

    • 默认 VPC – 如果您的AWS账户在当前AWS区域内有一个默认 VPC,则该 VPC 将配置为支持数据库实例。如果您在创建数据库实例时指定默认 VPC,请执行以下操作:

      • 确保创建一个 VPC 安全组,该安全组对从应用程序或服务到 Amazon RDS 数据库实例的连接进行授权。使用 VPC 控制台中的 Security Group (安全组) 选项或 AWS CLI 创建 VPC 安全组。有关信息,请参阅 步骤 4:创建 VPC 安全组

      • 指定默认数据库子网组。如果这是您在此AWS区域内创建的第一个数据库实例,则 Amazon RDS 将在创建数据库实例时创建默认的数据库子网组。

    • 用户定义的 VPC – 如果您希望在创建数据库实例时指定用户定义的 VPC,请了解以下内容:

      • 确保创建一个 VPC 安全组,该安全组对从应用程序或服务到 Amazon RDS 数据库实例的连接进行授权。使用 VPC 控制台中的 Security Group (安全组) 选项或 AWS CLI 创建 VPC 安全组。有关信息,请参阅 步骤 4:创建 VPC 安全组

      • 该 VPC 必须满足特定要求才能托管数据库实例,例如至少拥有两个子网,每个子网分别位于一个独立的可用区中。有关信息,请参阅 Amazon Virtual Private Cloud VPC 和 Amazon RDS

      • 确保指定数据库子网组,以定义数据库实例可以使用该 VPC 中的哪些子网。有关信息,请参阅在 VPC 中使用数据库实例中的“数据库子网组”部分。

      注意

      一些传统账户不使用 VPC。如果您访问新 AWS 区域或您是新的 RDS 用户 (2013 年后),则您最有可能在 VPC 中创建数据库实例。有关更多信息,请参阅“确定您使用的是 EC2-VPC 还是 EC2-Classic 平台”。

  • 高可用性:是否需要故障转移支持? 在 Amazon RDS 上,多可用区部署会创建一个主数据库实例,并在另一个可用区中创建第二个备用数据库实例以支持故障转移。我们建议将多可用区部署用于生产工作负载以保持高可用性。对于开发和测试用途,您可以使用不是多可用区的部署。有关更多信息,请参阅“Amazon RDS 的高可用性(多可用区)”。

  • IAM 策略:您的AWS账户是否具有相应策略来授予执行 Amazon RDS 操作所需的权限? 如要使用 IAM 证书连接到AWS,您的 IAM 账户必须拥有 IAM 政策来授予执行 Amazon RDS 操作所需的权限。有关更多信息,请参阅“Amazon RDS 中的 Identity and Access Management”。

  • 开放端口:您的数据库侦听哪个 TCP/IP 端口? 有些公司的防火墙可能会阻止与您的数据库引擎的默认端口进行连接。如果您公司的防火墙不允许连接默认端口,请为新数据库实例选择其他端口。在创建对指定端口进行侦听的数据库实例后,您可以通过修改该数据库实例来更改端口。

  • AWS区域:您希望您的数据库位于哪个AWS区域内? 通过让数据库紧邻应用程序或 Web 服务,可以减小网络延迟。有关更多信息,请参阅“ 区域、可用区和 Local Zones ”。

  • 数据库磁盘子系统:您的存储要求是什么? Amazon RDS 提供三种存储类型:

    • 磁介质 (标准存储)

    • 通用型 (SSD)

    • 预置 IOPS (PIOPS)

    磁介质存储提供经济高效的存储,是具有轻量级或突发式 I/O 要求的应用程序的理想选择。支持 SSD 的通用型存储 (也称为 gp2) 可提供比基于磁盘的存储更快的访问。预置 IOPS 存储为满足 I/O 密集型工作负载 (尤其是数据库工作负载) 的需求而设计。此类工作负载对随机存取 I/O 吞吐量的存储性能和一致性十分敏感。有关 Amazon RDS 存储的更多信息,请参阅Amazon RDS 数据库实例存储

在了解创建安全组和数据库实例所需的信息之后,请继续执行下一步。

通过创建安全组提供对 VPC 中的数据库实例的访问

VPC 安全组提供了对 VPC 中的数据库实例的访问权。它们充当关联数据库实例的防火墙,在数据库实例级别控制入站和出站流量。默认情况下,系统将创建带防火墙和默认安全组 (用于保护数据库实例) 的数据库实例。

在连接到数据库实例之前,必须先向允许连接的安全组添加规则。使用网络和配置信息来创建允许访问数据库实例的规则。

例如,假设您有一个访问 VPC 中的数据库实例上的数据库的应用程序。在这种情况下,您必须添加指定应用程序用于访问数据库的端口范围和 IP 地址的自定义 TCP 规则。如果您有位于 Amazon EC2 实例上的应用程序,则可以使用您为 Amazon EC2 实例设置的安全组。

有关访问数据库实例的常见场景的信息,请参阅 在 VPC 中访问数据库实例的方案

创建 VPC 安全组

  1. 登录到AWS Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc

    注意

    确保您在 VPC 控制台中,而不是 RDS 控制台。

  2. 在 AWS Management Console 的右上角,选择要在其中创建 VPC 安全组和数据库实例的 AWS 区域。在该AWS区域的 Amazon VPC 资源列表中,您应看到至少一个 VPC 和多个子网。如果您没有看到,则说明您在该 AWS 区域中没有默认 VPC。

  3. 在导航窗格中,选择 Security Groups

  4. 选择创建安全组

    此时将显示 Create security group (创建安全组) 页面。

  5. Basic details (基本详细信息) 中,输入 Security group name (安全组名称)Description (描述)。对于 VPC,选择要在其中创建数据库实例的 VPC。

  6. Inbound rules (入站规则) 中,请选择 Add rule (添加规则)

    1. 对于 Type (类型),选择 Custom TCP (自定义TCP)

    2. 对于 Port range (端口范围),输入要用于数据库实例的端口值。

    3. 对于 Source (源),选择安全组名称或键入您从中访问数据库实例的 IP 地址范围(CIDR 值)。如果您选择我的 IP,这会允许从浏览器中检测到的 IP 地址访问数据库实例。

  7. 如果需要添加更多 IP 地址或不同的端口范围,请选择 Add rule (添加规则) 并输入规则的信息。

  8. (可选)在 Outbound rules (出站规则) 中,为出站流量添加规则。默认情况下,允许所有出站流量。

  9. 选择创建安全组

在创建数据库实例时,您可以使用刚创建的 VPC 安全组作为数据库实例的安全组。

注意

如果您使用默认 VPC,则为您创建跨越该 VPC 的所有子网的默认子网组。在创建数据库实例时,您可以选择默认 VPC 并为数据库子网组选择默认

完成设置要求后,可以按照 创建 Amazon RDS 数据库实例 中的说明使用您的要求和安全组创建数据库实例。有关通过创建使用特定数据库引擎的数据库实例的入门信息,请参阅下表中的相关文档。

数据库引擎 文档

MariaDB

创建 MariaDB 数据库实例并连接到 MariaDB 数据库实例上的数据库

Microsoft SQL Server

创建 Microsoft SQL Server 数据库实例并连接

MySQL

创建 MySQL 数据库实例并连接到 MySQL 数据库实例上的数据库

Oracle

创建 Oracle 数据库实例并连接到 Oracle 数据库实例上的数据库

PostgreSQL

创建 PostgreSQL 数据库实例并连接到 PostgreSQL 数据库实例上的数据库
注意

如果在创建数据库实例后无法连接到该实例,请参阅无法连接到 Amazon RDS 数据库实例中的故障排除信息。