设置 Amazon RDS
首次使用 Amazon Relational Database Service 前,请完成以下任务。
如果您已有AWS账户,知道您的 Amazon RDS 要求并且想要使用 IAM 和 VPC 安全组的默认值,请跳至 开始使用 Amazon RDS。
获取AWS 账户和您的根用户凭证
要访问AWS,您必须注册一个AWS 账户。
注册 AWS 账户
按照屏幕上的说明进行操作。
在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。
当您注册 AWS 账户 时,系统将会创建一个 AWS 账户根用户。根用户有权访问该账户中的所有 AWS 服务和资源。作为安全最佳实践,请 为管理用户分配管理访问权限,并且只使用根用户执行 需要根用户访问权限的任务。
AWS注册过程完成后,会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/
创建 IAM 用户
如果您的账户中已包含具有完整AWS管理权限的 IAM 用户,则可以跳过此部分。
当您首次创建 AWS 账户时,最初使用的是一个对账户中所有 AWS 服务和资源拥有完全访问权限的登录身份。此身份称为 AWS 账户根用户,使用您创建账户时所用的电子邮件地址和密码登录,即可获得该身份。
强烈建议您不要使用根用户执行日常任务。保护好根用户凭证,并使用这些凭证来执行仅根用户可以执行的任务。有关要求您以根用户身份登录的任务的完整列表,请参阅AWS 一般参考中的需要根用户凭证的任务。
要创建管理员用户,请选择以下选项之一。
选择一种方法来管理您的管理员 | To | By | 您也可以 |
---|---|---|---|
在 IAM Identity Center 中 (建议) |
使用短期凭证访问 AWS。 这符合安全最佳实践。有关最佳实践的信息,请参阅《IAM 用户指南》中的 IAM 中的安全最佳实践。 |
有关说明,请参阅《AWS IAM Identity Center (successor to AWS Single Sign-On) 用户指南》中的入门。 | 按照《AWS Command Line Interface 用户指南》中的配置 AWS CLI 以使用 AWS IAM Identity Center (successor to AWS Single Sign-On),配置编程式访问。 |
在 IAM 中 (不推荐使用) |
使用长期凭证访问 AWS。 | 按照《IAM 用户指南》中的创建您的首个 IAM 管理员用户和组的说明操作。 | 按照《IAM 用户指南》中的管理 IAM 用户的访问密钥,配置编程式访问。 |
作为 IAM 用户登录
通过选择 IAM user (IAM 用户) 并输入您的AWS 账户 ID 或账户别名来登录 IAM 控制台
为方便起见,AWS登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录过,请选择此按钮下面的登录链接,返回登录主页。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 AWS 账户 ID 或账户别名。
创建 IAM 用户访问密钥
访问密钥包含访问密钥 ID 和秘密访问密钥,用于签署对 AWS 发出的编程请求。如果没有访问密钥,您可以使用进行创建AWS Management Console。作为最佳实践,请勿在不必要时对任何任务使用AWS 账户根用户访问密钥。而是为自己创建一个具有访问密钥的新管理员 IAM 用户。
仅当创建访问密钥时,您才能查看或下载秘密访问密钥。以后您无法恢复它们。不过,您随时可以创建新的访问密钥。您还必须拥有执行所需 IAM 操作的权限。有关更多信息,请参阅 IAM 用户指南中的访问 IAM 资源所需的权限。
为 IAM 用户创建访问密钥
登录 AWS Management Console,单击 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择 Users(用户)。
-
选择要为其创建访问密钥的用户的名称,然后选择 Security credentials (安全凭证) 选项卡。
-
在 Access keys(访问密钥)部分中,选择 Create access key(创建访问密钥)。
-
要查看新访问密钥对,请选择 Show (显示)。关闭此对话框后,您将无法再次访问该秘密访问密钥。您的凭证与下面类似:
-
访问密钥 ID:AKIAIOSFODNN7EXAMPLE
-
秘密访问密钥:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
-
-
要下载密钥对,请选择 Download .csv file(下载 .csv 文件)。将密钥存储在安全位置。关闭此对话框后,您将无法再次访问该秘密访问密钥。
请对密钥保密以保护您的AWS 账户,切勿通过电子邮件发送密钥。请勿对企业外部共享密钥,即使有来自 AWS 或 Amazon.com 的询问。合法代表 Amazon 的任何人永远都不会要求您提供密钥。
-
下载
.csv
文件之后,选择 Close (关闭)。在创建访问密钥时,预设情况下,密钥对处于活动状态,并且您可以立即使用此密钥对。
相关主题
确定要求
Amazon RDS 的基本构建基块是数据库实例。在数据库实例中,您可以创建数据库。数据库实例提供了称为终端节点 的网络地址。您的应用程序使用此终端节点连接到您的数据库实例。在创建数据库实例时,您指定存储、内存、数据库引擎和版本、网络配置、安全性以及维护时段等详细信息。您通过安全组控制对数据库实例的网络访问。
在创建数据库实例和安全组之前,您必须知道数据库实例和网络需求。下面是要考虑的一些重要事项:
资源要求 – 应用程序或服务的内存和处理器要求是什么? 您使用这些设置来帮助您确定要使用哪个数据库实例类。有关数据库实例类的规范,请参阅 数据库实例类。
VPC、子网和安全组 – 您的数据库实例很可能在一个 Virtual Private Cloud (VPC) 中。要连接到数据库实例,您需要设置安全组规则。根据您使用的 VPC 的类型和您使用它的方式,设置这些规则的方式有所不同。例如,您可以使用:原定设置 VPC 或用户定义的 VPC。
下面的列表说明每个 VPC 选项的规则:
-
默认 VPC – 如果您的AWS账户在当前AWS区域内有一个默认 VPC,则该 VPC 将配置为支持数据库实例。如果您在创建数据库实例时指定默认 VPC,请执行以下操作:
-
确保创建一个 VPC 安全组,该安全组对从应用程序或服务到 Amazon RDS 数据库实例的连接进行授权。使用 VPC 控制台中的 Security Group (安全组) 选项或 AWS CLI 创建 VPC 安全组。有关信息,请参阅 步骤 3:创建 VPC 安全组。
-
指定默认数据库子网组。如果这是您在此AWS区域内创建的第一个数据库实例,则 Amazon RDS 将在创建数据库实例时创建默认的数据库子网组。
-
-
用户定义的 VPC – 如果您希望在创建数据库实例时指定用户定义的 VPC,请了解以下内容:
-
确保创建一个 VPC 安全组,该安全组对从应用程序或服务到 Amazon RDS 数据库实例的连接进行授权。使用 VPC 控制台中的 Security Group (安全组) 选项或 AWS CLI 创建 VPC 安全组。有关信息,请参阅 步骤 3:创建 VPC 安全组。
-
该 VPC 必须满足特定要求才能托管数据库实例,例如至少拥有两个子网,每个子网分别位于一个独立的可用区中。有关信息,请参阅 Amazon VPC 和 Amazon RDS。
-
确保指定数据库子网组,以定义数据库实例可以使用该 VPC 中的哪些子网。有关信息,请参阅在 VPC 中使用数据库实例中的“数据库子网组”部分。
-
-
-
高可用性:是否需要故障转移支持? 在 Amazon RDS 上,多可用区部署会创建一个主数据库实例,并在另一个可用区中创建第二个备用数据库实例以支持故障转移。我们建议将多可用区部署用于生产工作负载以保持高可用性。对于开发和测试用途,您可以使用不是多可用区的部署。有关更多信息,请参阅“多可用区部署,可实现高可用性”。
-
IAM 策略:您的AWS账户是否具有相应策略来授予执行 Amazon RDS 操作所需的权限? 如要使用 IAM 证书连接到AWS,您的 IAM 账户必须拥有 IAM 政策来授予执行 Amazon RDS 操作所需的权限。有关更多信息,请参阅“Amazon RDS 的 Identity and Access Management”。
-
开放端口:您的数据库侦听哪个 TCP/IP 端口? 有些公司的防火墙可能会阻止与您的数据库引擎的默认端口进行连接。如果您公司的防火墙不允许连接默认端口,请为新数据库实例选择其他端口。在创建对指定端口进行侦听的数据库实例后,您可以通过修改该数据库实例来更改端口。
AWS区域:您希望您的数据库位于哪个AWS区域内? 通过让数据库紧邻应用程序或 Web 服务,可以减小网络延迟。有关更多信息,请参阅“区域、可用区和 Local Zones”。
数据库磁盘子系统:您的存储要求是什么? Amazon RDS 提供三种存储类型:
磁介质 (标准存储)
通用型 (SSD)
预置 IOPS (PIOPS)
磁介质存储提供经济高效的存储,是具有轻量级或突发式 I/O 要求的应用程序的理想选择。支持 SSD 的通用型存储 (也称为 gp2) 可提供比基于磁盘的存储更快的访问。预调配 IOPS 存储旨在满足 I/O 密集型工作负载的需要。特别是,预调配 IOPS 存储专为处理数据库工作负载而设计,此类工作负载对随机存取 I/O 吞吐量的存储性能和一致性十分敏感。有关 Amazon RDS 存储的更多信息,请参阅Amazon RDS 数据库实例存储。
在了解创建安全组和数据库实例所需的信息之后,请继续执行下一步。
通过创建安全组提供对 VPC 中的数据库实例的访问
VPC 安全组提供了对 VPC 中的数据库实例的访问权。它们充当关联数据库实例的防火墙,在数据库实例级别控制入站和出站流量。默认情况下,系统将创建带防火墙和默认安全组 (用于保护数据库实例) 的数据库实例。
在连接到数据库实例之前,必须先向允许连接的安全组添加规则。使用网络和配置信息来创建允许访问数据库实例的规则。
例如,假设您有一个访问 VPC 中的数据库实例上的数据库的应用程序。在这种情况下,您必须添加指定应用程序用于访问数据库的端口范围和 IP 地址的自定义 TCP 规则。如果您有位于 Amazon EC2 实例上的应用程序,则可以使用您为 Amazon EC2 实例设置的安全组。
创建数据库实例时,您可以配置 Amazon EC2 实例与数据库实例之间的连接。有关更多信息,请参阅配置与 EC2 实例的自动网络连接。
创建数据库实例时,您可以在 Amazon EC2 实例和数据库实例之间自动设置网络连接。有关更多信息,请参阅配置与 EC2 实例的自动网络连接。
有关访问数据库实例的常见场景的信息,请参阅 在 VPC 中访问数据库实例的场景。
创建 VPC 安全组
-
登录到AWS Management Console并打开 Amazon VPC 控制台,网址:https://console.aws.amazon.com/vpc
。 注意 确保您在 VPC 控制台中,而不是 RDS 控制台。
在 AWS Management Console的右上角,选择要在其中创建 VPC 安全组和数据库实例的 AWS 区域。在该AWS区域的 Amazon VPC 资源列表中,您应看到至少一个 VPC 和多个子网。如果您没有看到,则说明您在该 AWS 区域中没有默认 VPC。
在导航窗格中,选择 Security Groups(安全组)。
-
选择Create security group(创建安全组)。
此时将显示 Create security group (创建安全组) 页面。
在 Basic details (基本详细信息) 中,输入 Security group name (安全组名称) 和 Description (描述)。对于 VPC,选择要在其中创建数据库实例的 VPC。
在 Inbound rules (入站规则) 中,请选择 Add rule (添加规则)。
对于 Type (类型),选择 Custom TCP (自定义TCP)。
对于 Port range (端口范围),输入要用于数据库实例的端口值。
-
对于 Source (源),选择安全组名称或键入您从中访问数据库实例的 IP 地址范围(CIDR 值)。如果您选择我的 IP,这会允许从浏览器中检测到的 IP 地址访问数据库实例。
如果需要添加更多 IP 地址或不同的端口范围,请选择 Add rule (添加规则) 并输入规则的信息。
(可选)在 Outbound rules (出站规则) 中,为出站流量添加规则。默认情况下,允许所有出站流量。
-
选择Create security group(创建安全组)。
在创建数据库实例时,您可以使用刚创建的 VPC 安全组作为数据库实例的安全组。
如果您使用默认 VPC,则为您创建跨越该 VPC 的所有子网的默认子网组。在创建数据库实例时,您可以选择默认 VPC 并为数据库子网组选择默认。
完成所需的设置后,可以使用您的要求和安全组来创建数据库实例。为此,请遵循创建 Amazon RDS 数据库实例中的说明。有关通过创建使用特定数据库引擎的数据库实例的入门信息,请参阅下表中的相关文档。
数据库引擎 | 文档 |
---|---|
MariaDB |
|
Microsoft SQL Server |
|
MySQL |
|
Oracle |
|
PostgreSQL |
如果在创建数据库实例后无法连接到该实例,请参阅无法连接到 Amazon RDS 数据库实例中的故障排除信息。