設定 Amazon RDS

首次使用 Amazon Relational Database Service 之前，請先完成下列任務：

如果您已有 AWS 帳戶，知道您的 Amazon RDS 需求，並偏好對 IAM 和 VPC 安全群組使用預設值，請跳至 Amazon RDS 入門。

註冊 AWS 帳戶

如果您還沒有 AWS 帳戶，請完成以下步驟建立新帳戶。

註冊 AWS 帳戶

1. 開啟 https://portal.aws.amazon.com/billing/signup。

2. 請遵循線上指示進行。

   部分註冊程序需接收來電，並在電話鍵盤輸入驗證碼。

   註冊 AWS 帳戶時，會建立 AWS 帳戶根使用者。根使用者有權存取該帳戶中的所有 AWS 服務和資源。作為最佳安全實務，將管理存取權指派給管理使用者，並且僅使用根使用者來執行需要根使用者存取權的任務。

註冊程序完成後，AWS 會傳送一封確認電子郵件給您。您可以隨時登錄 https://aws.amazon.com/ 並選擇 我的帳戶，以檢視您目前的帳戶活動並管理帳戶。

建立管理使用者

當您註冊 AWS 帳戶 之後，請保護您的 AWS 帳戶根使用者，啟用 AWS IAM Identity Center，並建立管理使用者，讓您可以不使用根使用者處理日常作業。

保護您的 AWS 帳戶根使用者

1. 選擇 根使用者 並輸入您的 AWS 帳戶電子郵件地址，以帳戶擁有者身分登入 AWS Management Console。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 AWS 登入使用者指南中的以根使用者身分登入。

2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需指示，請參閱《IAM 使用者指南》中的為 AWS 帳戶根使用者啟用虛擬 MFA 裝置 (主控台)。

建立管理使用者

1. 啟用 IAM Identity Center。

   如需指示，請參閱 AWS IAM Identity Center 使用者指南中的啟用 AWS IAM Identity Center。

2. 在 IAM Identity Center 中，將管理權限授予管理使用者。

   若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的教學課程，請參閱《使用 AWS IAM Identity Center 使用者指南中的以預設 IAM Identity Center 目錄 設定使用者存取權限。

以管理員的身分登入

• 若要使用您的 IAM 身分中心使用者登入，請使用建立 IAM 身分中心使用者時傳送至您電子郵件地址的登入 URL。

  如需有關如何使用 IAM Identity Center 使用者登入的說明，請參閱《AWS 登入 使用者指南》中的登入 AWS存取入口網站。

授予程式設計存取權

若使用者想要與 AWS Management Console 之外的 AWS 互動，則需要程式設計存取權。授予程式設計存取權的方式取決於存取 AWS 的使用者類型。

若要授予使用者程式設計存取權，請選擇下列其中一個選項。

哪個使用者需要程式設計存取權？	到	By
人力身分 (IAM Identity Center 中管理的使用者)	使用臨時憑證簽署對 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計請求。	請依照您要使用的介面所提供的指示操作。 關於 AWS CLI，請參閱 AWS Command Line Interface使用者指南 中的 設定 AWS CLI 來使用 AWS IAM Identity Center。 關於 AWS SDKs、工具和 AWS APIs，請參閱 AWSSDKs 和工具參考指南 中的 IAM Identity Center 驗證。
IAM	使用臨時憑證簽署對 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計請求。	請遵循 IAM 使用者指南 中 使用臨時憑證搭配 AWS 資源 中的指示。
IAM	(不建議使用) 使用長期憑證簽署 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計要求。	請依照您要使用的介面所提供的指示操作。 關於 AWS CLI，請參閱 AWS Command Line Interface使用者指南 中的 使用 IAM 使用者憑證進行驗證。 關於 AWS SDKs 和工具，請參閱 AWSSDKs 和工具參考指南 中的 使用長期憑證進行驗證。 關於 AWS API，請參閱 IAM 使用者指南 中的 管理 IAM 使用者的存取金鑰。

判定需求

Amazon RDS 的基本建置組塊為資料庫執行個體。您可以在資料庫執行個體中建立您的資料庫。資料庫執行個體提供的網路位址稱為端點。您的應用程式使用此端點來連接至您的資料庫執行個體。建立資料庫執行個體時，您可以指定儲存體、記憶體、資料庫引擎和版本、網路組態、安全和維護期間等詳細資訊。您可以透過安全群組來控制對資料庫執行個體的網路存取。

建立資料庫執行個體和安全群組之前，您必須知道您的資料庫執行個體和網路需求。這裡是一些要考慮的注意事項：

• 資源需求 ​– 您的應用程式或服務的記憶體和處理器需求為何？ 您可以使用這些設定來幫助判定要使用的資料庫執行個體類別。如需關於資料庫執行個體類別的規格，請參閱 資料庫執行個體類別。

• VPC、子網路和安全群組 – 您的資料庫執行個體最可能處於 Virtual Private Cloud (VPC) 中。若要連接至您的資料庫執行個體，您必須設定安全群組規則。這些規則的設定方式因您使用的 VPC 的種類以及您使用它的方式而有所不同。例如，您可以使用預設 VPC 或使用者定義的 VPC。

  下列清單說明每個 VPC 選項的規則：

  • 預設 VPC​ – 如果您的 AWS 帳戶在目前的 AWS 區域中有預設的 VPC，則會設定該 VPC 以支援資料庫執行個體。如果您在建立資料庫執行個體時指定預設的 VPC，請執行下列動作：

    • 確認建立 VPC 安全群組，授權從應用程式或服務到 Amazon RDS 資料庫執行個體的連線。使用 VPC 主控台上的 Security Group (安全群組) 選項或者使用 AWS CLI 來建立安全群組。如需相關資訊，請參閱「步驟 3：建立 VPC 安全群組」。

    • 指定預設的資料庫子網路群組。如果這是您在此 AWS 區域中建立的第一個資料庫執行個體，Amazon RDS 會在建立資料庫執行個體時建立預設的資料庫子網路群組。

  • 使用者定義的 VPC – 如果您要在建立資料庫執行個體時指定使用者定義的 VPC，請注意下列事項：

    • 確認建立 VPC 安全群組，授權從應用程式或服務到 Amazon RDS 資料庫執行個體的連線。使用 VPC 主控台上的 Security Group (安全群組) 選項或者使用 AWS CLI 來建立安全群組。如需相關資訊，請參閱「步驟 3：建立 VPC 安全群組」。

    • VPC 必須符合某些需求才能主控資料庫執行個體，例如具有至少兩個子網路，每個位在個別的可用區域中。如需相關資訊，請參閱「Amazon VPC 和 Amazon RDS」。

    • 務必指定 DB 子網路群組，該群組定義在該 VPC 中可由資料庫叢集使用的子網路。如需詳細資訊，請參閱在 VPC 中使用資料庫執行個體中的資料庫子網路群組小節。

• 高可用性 – 您需要容錯移轉支援嗎？ 在 Amazon RDS 上，異地同步備份部署會建立主要資料庫執行個體，並在另一個可用區域中建立次要待命資料庫執行個體以進行容錯移轉支援。建議對生產工作負載使用異地同步備份部署以保有高可用性。針對開發和測試目的，您可以使用異地同步備份以外的部署。如需詳細資訊，請參閱設定及管理多可用區部署。

• IAM 政策 – 您的 AWS 帳戶具有的政策可授予執行 Amazon RDS 操作所需的許可？ 如果您是使用 IAM 登入資料連接至 AWS，您的 IAM 帳戶必須具備可授予執行 Amazon RDS 操作所需許可的 IAM 政策。如需詳細資訊，請參閱Amazon RDS 的 Identity and access management。

• 開放連接埠 – 您的資料庫接聽所在的 TCP/IP 連接埠為何？ 某些公司的防火牆可能會封鎖與您的資料庫引擎預設連接埠的連線。如果您的公司防火牆會封鎖預設連接埠，請為新的資料庫執行個體選擇另一個連接埠。建立在您指定的連接埠上接聽的資料庫執行個體時，您可以透過修改資料庫執行個體來變更連接埠。

• AWS 區域 – 您要將您的資料庫放置在哪個 AWS 區域？ 將您的資料庫放置在鄰近您的應用程式或 Web 服務的位置可以減少網路延遲。如需詳細資訊，請參閱區域、可用區域和 Local Zones。

• 資料庫磁碟子系統 – 您的儲存體有何要求？ Amazon RDS 提供了三種儲存類型：

  • 一般用途 (SSD)

  • 佈建的 IOPS (PIOPS)

  • 磁帶 (也稱為標準儲存裝置)

  如需 Amazon RDS 儲存體的詳細資訊，請參閱 Amazon RDS 資料庫執行個體儲存體。

具備建立安全群組和資料庫執行個體所需的資訊時，請繼續進行下一個步驟。

建立安全群組以存取在您的 VPC 中您的資料庫執行個體

VPC 安全群組提供 VPC 中資料庫執行個體的存取權。其作用就像相關資料庫執行個體的防火牆，從資料庫執行個體層級控制傳入和傳出流量。資料庫執行個體建立時預設提供防火牆和可保護資料庫執行個體的預設安全群組。

您必須先新增規則至可讓您連線的安全群組，才可連線到資料庫執行個體。使用您的網路和組態資訊來建立規則以允許存取您的資料庫執行個體。

例如，假設您有一個應用程式會存取 VPC 中您的資料庫執行個體上的資料庫。在此情況下，您必須新增自訂 TCP 規則，指定您的應用程式用來存取資料庫的連接埠範圍和 IP 地址。如果您的應用程式在 Amazon EC2 執行個體上，則可以使用您為 Amazon EC2 執行個體設定安全群組。

您在建立資料庫執行個體時，可以將 Amazon EC2 執行個體之間的連線設定為資料庫執行個體。如需詳細資訊，請參閱設定與 EC2 執行個體的自動網路連線。

提示

您在建立資料庫執行個體時，可以自動設定 Amazon EC2 執行個體和資料庫執行個體之間的網路連線。如需詳細資訊，請參閱設定與 EC2 執行個體的自動網路連線。

如需存取資料庫執行個體常見案例的相關資訊，請參閱在 VPC 中存取資料庫執行個體的案例。

建立 VPC 安全群組

1. 登入 AWS Management Console，並在 https://console.aws.amazon.com/vpc 開啟 Amazon VPC 主控台。

   注意

   請確認您位於 VPC 主控台中，而不是 RDS 主控台。

2. 在 AWS Management Console 的右上角，選擇要建立 VPC 安全群組和資料庫執行個體的 AWS 區域。在 AWS 區域的 Amazon VPC 資源清單中，您應該會看到至少一個 VPC 和數個子網路。如果沒有，表示您在該 AWS 區域中沒有預設 VPC。

3. 在導覽窗格中，選擇 Security Groups (安全群組)。

4. 選擇 Create Security Group (建立安全群組)。

   隨即會顯示 Create security group (建立安全群組) 頁面。

5. 在 Basic details (基本詳細資訊) 中，分別在 Security group name (安全群組名稱) 和 Description (描述) 中輸入相應內容。針對 VPC，選擇您要建立您的資料庫執行個體所在的 VPC。

6. 在 Inbound rules (入站規則) 中，選擇 Add rule (新增規則)。

   1. 針對 Type (類型)，請選擇 Custom TCP (自訂 TCP)。

   2. 針對 Port Range (連接埠範圍)，輸入要用於資料庫執行個體的連接埠值。

   3. 針對 Source (來源)，選擇要從中存取資料庫執行個體的安全群組名稱或輸入 IP 地址範圍 (CIDR 值)。如果您選擇 My IP (我的 IP)，此舉允許透過您的瀏覽器中偵測到的 IP 地址存取資料庫執行個體。

7. 如果需要新增更多 IP 地址或不同的連接埠範圍，請選擇 Add rule (新增規則) 並輸入規則的資訊。

8. (選用) 在 Outbound Rules (輸出規則) 中，新增輸出流量的規則。預設會允許所有傳出流量。

9. 選擇建立安全群組。

您可以使用剛建立的 VPC 安全群組，做為所建立之資料庫執行個體的安全群組。

注意

如果您使用預設 VPC，系統會為您建立橫跨所有 VPC 子網路的預設子網路群組。建立資料庫執行個體時，您可以選取預設的 VPC，並在 DB Subnet Group (資料庫子網路群組) 使用 default (預設)。

在完成了設定需求之後，您可以使用您的需求和安全群組建立資料庫執行個體。若要執行此操作，請遵循 建立 Amazon RDS 資料庫執行個體 中的指示。如需建立使用特定資料庫引擎的資料庫執行個體之相關資訊，請參閱下方表單中的相關文件。

資料庫引擎	文件
MariaDB	建立並連線至 MariaDB 資料庫執行個體
Microsoft SQL Server	建立並連線至 Microsoft SQL Server 資料庫執行個體
MySQL	建立並連線至 MySQL 資料庫執行個體
Oracle	建立並連線至 Oracle 資料庫執行個體
PostgreSQL	建立並連線至 PostgreSQL 資料庫執行個體

注意

如果您在建立資料庫執行個體之後，無法連線到該執行個體，請參閱 無法連線至 Amazon RDS 資料庫執行個體 中的疑難排解資訊。