设置 Amazon RDS 环境 - Amazon Relational Database Service
注册 AWS 账户创建具有管理访问权限的用户授权以编程方式访问确定要求提供对数据库实例的访问权限

设置 Amazon RDS 环境

本页提供了设置 Amazon Relational Database Service 的全面指南,包括账户配置、安全性和资源管理。它为您演练高效创建、管理和保护数据库环境的基本步骤。无论您是刚接触 Amazon RDS,还是正在进行设置来满足特定的要求,这些章节都有助于确保您的设置得到优化并符合最佳实践。

如果您已有 AWS 账户,知道您的 Amazon RDS 要求并且想要使用 IAM 和 VPC 安全组的默认值,请向前跳至开始使用 Amazon RDS

注册 AWS 账户

如果您还没有 AWS 账户,请完成以下步骤来创建一个。

注册 AWS 账户

  1. 打开 https://portal.aws.amazon.com/billing/signup

  2. 按照屏幕上的说明操作。

    在注册时,将接到电话,要求使用电话键盘输入一个验证码。

    当您注册 AWS 账户 时,系统将会创建一个 AWS 账户根用户。根用户有权访问该账户中的所有 AWS 服务和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务

注册过程完成后,AWS 会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/ 并选择我的账户来查看当前的账户活动并管理您的账户。

创建具有管理访问权限的用户

注册 AWS 账户 后,请保护好您的 AWS 账户根用户,启用 AWS IAM Identity Center,并创建一个管理用户,以避免使用根用户执行日常任务。

保护您的 AWS 账户根用户

  1. 选择根用户并输入您的 AWS 账户 电子邮件地址,以账户拥有者身份登录 AWS Management Console。在下一页上,输入您的密码。

    要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的 Signing in as the root user

  2. 为您的根用户启用多重身份验证(MFA)。

    有关说明,请参阅《IAM 用户指南》中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)

创建具有管理访问权限的用户

  1. 启用 IAM Identity Center。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Enabling AWS IAM Identity Center

  2. 在 IAM Identity Center 中,为用户授予管理访问权限。

    有关如何使用 IAM Identity Center 目录 作为身份源的教程,请参阅《AWS IAM Identity Center 用户指南》中的 Configure user access with the default IAM Identity Center 目录

以具有管理访问权限的用户身份登录

  • 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录网址。

    要获取使用 IAM Identity Center 用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的 Signing in to the AWS access portal

将访问权限分配给其他用户

  1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Create a permission set

  2. 将用户分配到一个组,然后为该组分配单点登录访问权限。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Add groups

授权以编程方式访问

如果用户需要在 AWS Management Console 之外与 AWS 交互,则需要编程式访问权限。授予编程式访问权限的方法取决于访问 AWS 的用户类型。

要向用户授予编程式访问权限,请选择以下选项之一。

哪个用户需要编程式访问权限? 目的 方式

人力身份

(在 IAM Identity Center 中管理的用户)

 使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。

按照您希望使用的界面的说明进行操作。
IAM 使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 按照《IAM 用户指南》将临时凭证用于 AWS 资源中的说明进行操作。
IAM

(不推荐使用)

使用长期凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。

按照您希望使用的界面的说明进行操作。

确定要求

Amazon RDS 的基本构建基块是数据库实例。在数据库实例中,您可以创建数据库。数据库实例提供了称为终端节点 的网络地址。您的应用程序使用此终端节点连接到您的数据库实例。在创建数据库实例时,您指定存储、内存、数据库引擎和版本、网络配置、安全性以及维护时段等详细信息。您通过安全组控制对数据库实例的网络访问。

在创建数据库实例和安全组之前,您必须知道数据库实例和网络需求。下面是要考虑的一些重要事项:

  • 资源要求 – 应用程序或服务的内存和处理器要求是什么? 您使用这些设置来帮助您确定要使用哪个数据库实例类。有关数据库实例类的规范,请参阅 数据库实例类

  • VPC、子网和安全组 – 您的数据库实例很可能在一个 Virtual Private Cloud (VPC) 中。要连接到数据库实例,您需要设置安全组规则。根据您使用的 VPC 的类型和您使用它的方式,设置这些规则的方式有所不同。例如,您可以使用:默认 VPC 或用户定义的 VPC。

    下面的列表说明每个 VPC 选项的规则:

    • 默认 VPC – 如果您的AWS账户在当前AWS区域内有一个默认 VPC,则该 VPC 将配置为支持数据库实例。如果您在创建数据库实例时指定默认 VPC,请执行以下操作:

      • 确保创建一个 VPC 安全组,该安全组对从应用程序或服务到 Amazon RDS 数据库实例的连接进行授权。使用 VPC 控制台中的 Security Group (安全组) 选项或 AWS CLI 创建 VPC 安全组。有关信息,请参阅 步骤 3:创建 VPC 安全组

      • 指定默认数据库子网组。如果这是您在此AWS区域内创建的第一个数据库实例,则 Amazon RDS 将在创建数据库实例时创建默认的数据库子网组。

    • 用户定义的 VPC – 如果您希望在创建数据库实例时指定用户定义的 VPC,请了解以下内容:

      • 确保创建一个 VPC 安全组,该安全组对从应用程序或服务到 Amazon RDS 数据库实例的连接进行授权。使用 VPC 控制台中的 Security Group (安全组) 选项或 AWS CLI 创建 VPC 安全组。有关信息,请参阅 步骤 3:创建 VPC 安全组

      • 该 VPC 必须满足特定要求才能托管数据库实例,例如至少拥有两个子网,每个子网分别位于一个独立的可用区中。有关信息,请参阅 Amazon VPC 和 Amazon RDS

      • 确保指定数据库子网组,以定义数据库实例可以使用该 VPC 中的哪些子网。有关信息,请参阅在 VPC 中使用数据库实例中的“数据库子网组”部分。

  • 高可用性 – 是否需要失效转移支持? 在 Amazon RDS 上,多可用区部署会创建一个主数据库实例,并在另一个可用区中创建第二个备用数据库实例以支持失效转移。我们建议将多可用区部署用于生产工作负载以保持高可用性。对于开发和测试用途,您可以使用不是多可用区的部署。有关更多信息,请参阅 配置和管理 Amazon RDS 的多可用区部署

  • IAM 策略 – 您的 AWS 账户是否具有相应策略来授予执行 Amazon RDS 操作所需的权限? 如要使用 IAM 证书连接到AWS,您的 IAM 账户必须拥有 IAM 政策来授予执行 Amazon RDS 操作所需的权限。有关更多信息,请参阅 Amazon RDS 的 Identity and Access Management

  • 开放端口 – 您的数据库侦听哪个 TCP/IP 端口? 有些公司的防火墙可能会阻止与您的数据库引擎的默认端口进行连接。如果您公司的防火墙不允许连接默认端口,请为新数据库实例选择其他端口。在创建对指定端口进行侦听的数据库实例后,您可以通过修改该数据库实例来更改端口。

  • AWS 区域 – 您希望您的数据库位于哪个 AWS 区域内? 通过让数据库紧邻应用程序或 Web 服务,可以减小网络延迟。有关更多信息,请参阅 区域、可用区和 Local Zones

  • 数据库磁盘子系统 – 您的存储要求是什么? Amazon RDS 提供三种存储类型:

    • 通用型 (SSD)

    • 预置 IOPS (PIOPS)

    • 磁性(也称为标准存储)

    有关 Amazon RDS 存储的更多信息,请参阅Amazon RDS 数据库实例存储

在了解创建安全组和数据库实例所需的信息之后,请继续执行下一步。

通过创建安全组提供对 VPC 中的数据库实例的访问

VPC 安全组提供了对 VPC 中的数据库实例的访问权。它们充当关联数据库实例的防火墙,在数据库实例级别控制入站和出站流量。默认情况下,系统将创建带防火墙和默认安全组 (用于保护数据库实例) 的数据库实例。

在连接到数据库实例之前,必须先向允许连接的安全组添加规则。使用网络和配置信息来创建允许访问数据库实例的规则。

例如,假设您有一个访问 VPC 中的数据库实例上的数据库的应用程序。在这种情况下,您必须添加指定应用程序用于访问数据库的端口范围和 IP 地址的自定义 TCP 规则。如果您有位于 Amazon EC2 实例上的应用程序,则可以使用您为 Amazon EC2 实例设置的安全组。

创建数据库实例时,您可以配置 Amazon EC2 实例与数据库实例之间的连接。有关更多信息,请参阅 配置与 EC2 实例的自动网络连接

提示

创建数据库实例时,您可以在 Amazon EC2 实例和数据库实例之间自动设置网络连接。有关更多信息,请参阅 配置与 EC2 实例的自动网络连接

有关如何将 Amazon Lightsail 中的资源连接到数据库实例的信息,请参阅 Connect Lightsail resources to AWS 服务 using VPC peering

有关访问数据库实例的常见场景的信息,请参阅 在 VPC 中访问数据库实例的场景

创建 VPC 安全组

  1. 登录到AWS Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc

    注意

    确保您在 VPC 控制台中,而不是 RDS 控制台。

  2. 在 AWS Management Console的右上角,选择要在其中创建 VPC 安全组和数据库实例的 AWS 区域。在该AWS区域的 Amazon VPC 资源列表中,您应看到至少一个 VPC 和多个子网。如果您没有看到,则说明您在该 AWS 区域中没有默认 VPC。

  3. 在导航窗格中,选择安全组

  4. 选择 Create security group(创建安全组)。

    此时将显示 Create security group (创建安全组) 页面。

  5. Basic details (基本详细信息) 中,输入 Security group name (安全组名称)Description (描述)。对于 VPC,选择要在其中创建数据库实例的 VPC。

  6. Inbound rules (入站规则) 中,请选择 Add rule (添加规则)

    1. 对于 Type (类型),选择 Custom TCP (自定义TCP)

    2. 对于 Port range (端口范围),输入要用于数据库实例的端口值。

    3. 对于 Source (源),选择安全组名称或键入您从中访问数据库实例的 IP 地址范围(CIDR 值)。如果您选择我的 IP,这会允许从浏览器中检测到的 IP 地址访问数据库实例。

  7. 如果需要添加更多 IP 地址或不同的端口范围,请选择 Add rule (添加规则) 并输入规则的信息。

  8. (可选)在 Outbound rules (出站规则) 中,为出站流量添加规则。默认情况下,允许所有出站流量。

  9. 选择 Create security group(创建安全组)。

在创建数据库实例时,您可以使用刚创建的 VPC 安全组作为数据库实例的安全组。

注意

如果您使用默认 VPC,则为您创建跨越该 VPC 的所有子网的默认子网组。在创建数据库实例时,您可以选择默认 VPC 并为数据库子网组选择默认

完成所需的设置后,可以使用您的要求和安全组来创建数据库实例。为此,请遵循创建 Amazon RDS 数据库实例中的说明。有关通过创建使用特定数据库引擎的数据库实例的入门信息,请参阅下表中的相关文档。

注意

如果在创建数据库实例后无法连接到该实例,请参阅无法连接到 Amazon RDS 数据库实例中的故障排除信息。