設定您的 Amazon RDS環境 - Amazon Relational Database Service
註冊 AWS 帳戶建立具有管理存取權的使用者授與程式設計存取權判定需求提供資料庫執行個體的存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定您的 Amazon RDS環境

此頁面提供設定 Amazon Relational Database Service 的完整指南,包括帳戶組態、安全性和資源管理。它將逐步引導您有效建立、管理和保護資料庫環境的基本步驟。無論您是初次使用 Amazon RDS還是設定特定要求,這些區段都有助於確保您的設定最佳化並符合最佳實務。

如果您已有 AWS 帳戶,請了解您的 Amazon RDS需求,並偏好使用 IAM和 VPC安全群組的預設值,請跳到 Amazon RDS 入門

註冊 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟以建立。

註冊 AWS 帳戶

  1. 開啟https://portal.aws.amazon.com/billing/註冊

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時前往 https://aws.amazon.com/ 並選擇我的帳戶,以檢視目前的帳戶活動和管理您的帳戶

建立具有管理存取權的使用者

註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。

保護您的 AWS 帳戶根使用者

  1. 選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console身分登入 。在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 為您的根使用者開啟多重驗證 (MFA)。

    如需說明,請參閱IAM《 使用者指南》中的為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬MFA裝置

建立具有管理存取權的使用者

  1. 啟用IAM身分中心。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的啟用 AWS IAM Identity Center

  2. 在 IAM Identity Center 中,將管理存取權授予使用者。

    如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱AWS IAM Identity Center 《 使用者指南》中的使用預設值設定使用者存取權 IAM Identity Center 目錄

以具有管理存取權的使用者身分登入

  • 若要使用 IAM Identity Center 使用者登入,請使用您建立 IAM Identity Center 使用者時URL傳送到您電子郵件地址的登入。

    如需使用 IAM Identity Center 使用者登入的說明,請參閱AWS 登入 《 使用者指南》中的登入 AWS 存取入口網站

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立遵循套用最低權限許可最佳實務的許可集。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的新增群組

授與程式設計存取權

如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS Management Console。授予程式設計存取的方式取決於存取的使用者類型 AWS。

若要授與使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? 根據

人力資源身分

(在 IAM Identity Center 中管理的使用者)

 使用暫時登入資料簽署對 AWS CLI AWS SDKs或 的程式設計請求 AWS APIs。

請依照您要使用的介面所提供的指示操作。
IAM 使用暫時登入資料簽署對 AWS CLI AWS SDKs或 的程式設計請求 AWS APIs。 遵循 IAM 使用者指南中的使用臨時登入資料與 AWS 資源的指示。
IAM

(不建議使用)

使用長期登入資料簽署程式設計請求至 AWS CLI、 AWS SDKs 或 AWS APIs。

請依照您要使用的介面所提供的指示操作。

判定需求

Amazon 的基本建置區塊RDS是資料庫執行個體。您可以在資料庫執行個體中建立您的資料庫。資料庫執行個體提供的網路位址稱為端點。您的應用程式使用此端點來連接至您的資料庫執行個體。建立資料庫執行個體時,您可以指定儲存體、記憶體、資料庫引擎和版本、網路組態、安全和維護期間等詳細資訊。您可以透過安全群組來控制對資料庫執行個體的網路存取。

建立資料庫執行個體和安全群組之前,您必須知道您的資料庫執行個體和網路需求。這裡是一些要考慮的注意事項:

  • 資源需求 ​– 您的應用程式或服務的記憶體和處理器需求為何? 您可以使用這些設定來幫助判定要使用的資料庫執行個體類別。如需關於資料庫執行個體類別的規格,請參閱 資料庫執行個體類別

  • VPC、子網路和安全群組 – 您的資料庫執行個體很可能位於虛擬私有雲端 (VPC)。若要連接至您的資料庫執行個體,您必須設定安全群組規則。這些規則的設定方式會因VPC您使用的類型和使用方式而有所不同。例如,您可以使用:預設VPC或使用者定義的 VPC。

    下列清單說明每個VPC選項的規則:

    • 預設 VPC – 如果 AWS 您的帳戶VPC在目前 AWS 區域中具有預設值,則VPC設定為支援資料庫執行個體。如果您在建立資料庫執行個體VPC時指定預設值,請執行下列動作:

      • 請務必建立VPC安全群組,以授權從應用程式或服務到 Amazon RDS 資料庫執行個體的連線。使用VPC主控台上的安全群組選項或 AWS CLI 來建立VPC安全群組。如需相關資訊,請參閱「步驟 3:建立 VPC 安全群組」。

      • 指定預設的資料庫子網路群組。如果這是您在此 AWS 區域中建立的第一個資料庫執行個體,Amazon 會在RDS建立資料庫執行個體時建立預設資料庫子網路群組。

    • 使用者定義 VPC – 如果您想要在建立資料庫執行個體VPC時指定使用者定義,請注意下列事項:

      • 請務必建立VPC安全群組,以授權從應用程式或服務到 Amazon RDS 資料庫執行個體的連線。使用VPC主控台上的安全群組選項或 AWS CLI 來建立VPC安全群組。如需相關資訊,請參閱 步驟 3:建立 VPC 安全群組

      • VPC 必須符合特定需求,才能託管資料庫執行個體,例如至少有兩個子網路,每個子網路都位於個別的可用區域中。如需相關資訊,請參閱 Amazon VPC 和 RDSAmazon

      • 請務必指定資料庫子網路群組,該群組定義哪些子網路VPC可供資料庫執行個體使用。如需詳細資訊,請參閱在 VPC 中使用資料庫執行個體中的資料庫子網路群組小節。

  • 高可用性 – 您需要容錯移轉支援嗎? 在 Amazon 上RDS,異地同步備份部署會在另一個可用區域中建立主要資料庫執行個體和次要待命資料庫執行個體,以支援容錯移轉。建議對生產工作負載使用異地同步備份部署以保有高可用性。針對開發和測試目的,您可以使用異地同步備份以外的部署。如需詳細資訊,請參閱設定和管理 Amazon 的多可用區部署 RDS

  • IAM 政策 – AWS 您的帳戶是否有政策可授予執行 Amazon RDS操作所需的許可? 如果您 AWS 使用IAM登入資料連線至 ,IAM您的帳戶必須具有授予執行 Amazon RDS操作所需許可IAM的政策。如需詳細資訊,請參閱Amazon RDS 的身分和存取管理

  • 開放連接埠 – 資料庫接聽的 TCP/IP 連接埠為何? 某些公司的防火牆可能會封鎖與您的資料庫引擎預設連接埠的連線。如果您的公司防火牆會封鎖預設連接埠,請為新的資料庫執行個體選擇另一個連接埠。建立在您指定的連接埠上接聽的資料庫執行個體時,您可以透過修改資料庫執行個體來變更連接埠。

  • AWS 區域 – 您希望資料庫位於哪個 AWS 區域? 將您的資料庫放置在鄰近您的應用程式或 Web 服務的位置可以減少網路延遲。如需詳細資訊,請參閱區域、可用區域和 Local Zones

  • 資料庫磁碟子系統 – 您的儲存體有何要求? Amazon RDS提供三種儲存類型:

    • 一般用途 (SSD)

    • 佈建 IOPS(PIOPS)

    • 磁帶 (也稱為標準儲存裝置)

    如需 Amazon RDS儲存體的詳細資訊,請參閱Amazon RDS 資料庫執行個體儲存體

具備建立安全群組和資料庫執行個體所需的資訊時,請繼續進行下一個步驟。

透過VPC建立安全群組,提供 中資料庫執行個體的存取權

VPC 安全群組可讓您存取 中的資料庫執行個體VPC。其作用就像相關資料庫執行個體的防火牆,從資料庫執行個體層級控制傳入和傳出流量。資料庫執行個體建立時預設提供防火牆和可保護資料庫執行個體的預設安全群組。

您必須先新增規則至可讓您連線的安全群組,才可連線到資料庫執行個體。使用您的網路和組態資訊來建立規則以允許存取您的資料庫執行個體。

例如,假設您的應用程式存取 中資料庫執行個體上的資料庫VPC。在這種情況下,您必須新增自訂TCP規則,指定應用程式用來存取資料庫的連接埠範圍和 IP 地址。如果您在 Amazon EC2執行個體上有應用程式,您可以使用您為 Amazon EC2執行個體設定的安全群組。

您可以在建立資料庫EC2執行個體時設定資料庫執行個體之間的連線。如需詳細資訊,請參閱設定與 EC2 執行個體的自動網路連線

提示

您可以在建立資料庫EC2執行個體時,自動設定 Amazon 執行個體與資料庫執行個體之間的網路連線。如需詳細資訊,請參閱設定與 EC2 執行個體的自動網路連線

如需如何將 Amazon Lightsail 中的資源連接至資料庫執行個體的詳細資訊,請參閱AWS 服務 使用VPC對等互連將 Lightsail 資源連接至

如需存取資料庫執行個體常見案例的相關資訊,請參閱存取 中資料庫執行個體的案例 VPC

建立VPC安全群組

  1. 登入 AWS Management Console ,並在 https://console.aws.amazon.com/vpc 開啟 Amazon VPC主控台。

    注意

    請確定您位於 VPC 主控台中,而非 RDS主控台中。

  2. 在 的右上角 AWS Management Console,選擇您要建立VPC安全群組和資料庫執行個體 AWS 的區域。在該 AWS 區域的 Amazon VPC 資源清單中,您應該至少會看到一個VPC和數個子網路。如果沒有,則表示VPC您在該 AWS 區域中沒有預設值。

  3. 在導覽窗格中,選擇 Security Groups (安全群組)。

  4. 選擇 Create Security Group (建立安全群組)。

    隨即會顯示 Create security group (建立安全群組) 頁面。

  5. Basic details (基本詳細資訊) 中,分別在 Security group name (安全群組名稱)Description (描述) 中輸入相應內容。針對 VPC,選擇您要VPC在其中建立資料庫執行個體的 。

  6. Inbound rules (入站規則) 中,選擇 Add rule (新增規則)

    1. 針對類型,選擇自訂 TCP

    2. 針對 Port Range (連接埠範圍),輸入要用於資料庫執行個體的連接埠值。

    3. 針對來源,選擇安全群組名稱,或輸入您存取資料庫執行個體的 IP 地址範圍 (CIDR 值)。如果您選擇 My IP (我的 IP),此舉允許透過您的瀏覽器中偵測到的 IP 地址存取資料庫執行個體。

  7. 如果需要新增更多 IP 地址或不同的連接埠範圍,請選擇 Add rule (新增規則) 並輸入規則的資訊。

  8. (選用) 在 Outbound Rules (輸出規則) 中,新增輸出流量的規則。預設會允許所有傳出流量。

  9. 選擇建立安全群組

您可以在建立資料庫執行個體時VPC,使用您剛建立做為其安全群組的安全群組。

注意

如果您使用預設 VPC,則會為您建立跨越所有 子網路的預設VPC子網路群組。建立資料庫執行個體時,您可以選取預設,VPC並針對資料庫子網路群組使用預設

在完成了設定需求之後,您可以使用您的需求和安全群組建立資料庫執行個體。若要執行此操作,請遵循 建立 Amazon RDS 資料庫執行個體 中的指示。如需建立使用特定資料庫引擎的資料庫執行個體之相關資訊,請參閱下方表單中的相關文件。

注意

如果您在建立資料庫執行個體之後,無法連線到該執行個體,請參閱 無法連線至 Amazon RDS 資料庫執行個體 中的疑難排解資訊。