Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de votre environnement pour Amazon Aurora
Avant d'utiliser Amazon Aurora pour la première fois, exécutez les tâches suivantes.
Rubriques
Si vous possédez déjà un Compte AWS, connaissez vos exigences en matière d'Aurora et préférez utiliser les valeurs par défaut pour les groupes de sécurité IAM et VPC, passez directement à. Mise en route avec Amazon Aurora
Inscrivez-vous pour un Compte AWS
Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.
Pour vous inscrire à un Compte AWS
Ouvrez https://portal.aws.amazon.com/billing/signup
. Suivez les instructions en ligne.
Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l‘utilisateur racine a accès à l‘ensemble des Services AWS et des ressources de ce compte. La meilleure pratique en matière de sécurité consiste à attribuer un accès administratif à un utilisateur et à n'utiliser que l'utilisateur root pour effectuer les tâches nécessitant un accès utilisateur root.
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. Vous pouvez afficher l‘activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/
Création d'un utilisateur doté d'un accès administratif
Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
Sécurisez votre Utilisateur racine d'un compte AWS
-
Connectez-vous en AWS Management Console
tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe. Pour obtenir de l‘aide pour vous connecter en utilisant l‘utilisateur racine, consultez Connexion en tant qu‘utilisateur racine dans le Guide de l‘utilisateur Connexion à AWS .
-
Activez l‘authentification multifactorielle (MFA) pour votre utilisateur racine.
Pour obtenir des instructions, consultez la section Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.
Création d'un utilisateur doté d'un accès administratif
-
Activez IAM Identity Center.
Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .
-
Dans IAM Identity Center, accordez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.
Connectez-vous en tant qu'utilisateur disposant d'un accès administratif
-
Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l‘URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l‘utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.
Attribuer l'accès à des utilisateurs supplémentaires
-
Dans IAM Identity Center, créez un ensemble d'autorisations conforme aux meilleures pratiques en matière d'application des autorisations du moindre privilège.
Pour obtenir des instructions, voir Création d'un ensemble d'autorisations dans le guide de AWS IAM Identity Center l'utilisateur.
-
Affectez des utilisateurs à un groupe, puis attribuez un accès d'authentification unique au groupe.
Pour obtenir des instructions, consultez la section Ajouter des groupes dans le guide de AWS IAM Identity Center l'utilisateur.
Octroi d’un accès par programmation
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
| Quel utilisateur a besoin d’un accès programmatique ? | Pour | Par |
|---|---|---|
|
Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) |
Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées aux AWS CLI AWS SDK ou AWS aux API. |
Suivez les instructions de l’interface que vous souhaitez utiliser.
|
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées aux AWS CLI AWS SDK ou AWS aux API. | Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec AWS les ressources du Guide de l'utilisateur IAM. |
| IAM | (Non recommandé) Utilisez des informations d'identification à long terme pour signer les AWS CLI demandes programmatiques adressées aux AWS SDK ou AWS aux API. |
Suivez les instructions de l’interface que vous souhaitez utiliser.
|
Déterminer les exigences
La fondation de base d'Aurora est le cluster de bases de données. Une ou plusieurs instances de base de données peuvent appartenir à un cluster de bases de données. Un cluster de base de données fournit une adresse réseau appelée point de terminaison de cluster. Vos applications se connectent au point de terminaison de cluster exposé par le cluster de bases de données lorsqu'elles doivent se connecter aux bases de données créées dans ce cluster de bases de données. Les informations que vous spécifiez lorsque vous créez le cluster de bases de données permettent de contrôler les éléments de la configuration, tels que le stockage, la mémoire, le moteur et la version de la base de données, la configuration réseau, la sécurité et les périodes de maintenance.
Avant de créer un cluster de base de données et un groupe de sécurité, vous devez connaître vos besoins en termes de cluster de base de données et de réseau. Voici quelques éléments importants à prendre en compte :
Exigences en matière de ressources– Quelles sont les exigences de votre application ou de votre service en termes de mémoire et de processeur ? Vous utiliserez ces paramètres pour déterminer la classe d'instance de bases de données à utiliser lors de la création de votre cluster de bases de données. Pour obtenir les caractéristiques des classes des instances de bases de données, consultez Classes d'instances de base de données Aurora.
VPC, sous-réseau et groupe de sécurité – Votre cluster de base de données se trouvera dans un Virtual Private Cloud (VPC). Des règles de groupe de sécurité doivent être configurées pour la connexion à un cluster de bases de données. La liste suivante décrit les règles pour chaque option de VPC :
-
VPC par défaut : si votre AWS compte possède un VPC par défaut dans la région AWS , ce VPC est configuré pour prendre en charge les clusters de base de données. Si vous spécifiez le VPC par défaut lorsque vous créez le cluster de bases de données :
-
Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service au cluster de base de données Aurora. Utilisez l'option Groupe de sécurité sur la console VPC ou pour créer des groupes AWS CLI de sécurité VPC. Pour plus d'informations, consultez Étape 3 : créer un groupe de sécurité VPC.
-
Vous devez spécifier le groupe de sous-réseaux DB par défaut. S'il s'agit du premier cluster de base de données que vous créez dans la AWS région, Amazon RDS créera le groupe de sous-réseaux de base de données par défaut lors de la création du cluster de bases de données.
-
-
VPC défini par l'utilisateur — Si vous souhaitez spécifier un VPC défini par l'utilisateur lorsque vous créez un cluster de bases de données :
-
Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l'application ou du service au cluster de base de données Aurora. Utilisez l'option Groupe de sécurité sur la console VPC ou pour créer des groupes AWS CLI de sécurité VPC. Pour plus d'informations, consultez Étape 3 : créer un groupe de sécurité VPC.
-
Le VPC doit respecter certaines exigences afin d'héberger des clusters de bases de données. Il doit notamment comporter au moins deux sous-réseaux, dans deux zones de disponibilités distinctes. Pour plus d'informations, consultez Amazon VPC et Amazon Aurora.
-
Vous devez spécifier un groupe de sous-réseaux DB définissant les sous-réseaux de ce VPC pouvant être utilisés par le cluster de bases de données. Pour plus d'informations, consultez la section Groupe de sous-réseau DB de Utilisation d'un(e) cluster de base de données dans un VPC.
-
-
-
Haute disponibilité : Avez-vous besoin de la prise en charge du basculement ? Sur Aurora, un déploiement multi-AZ crée une instance principale et des réplicas Aurora. Vous pouvez configurer l'instance principale et les réplicas Aurora afin qu'ils soient placés dans des zones de disponibilité différentes pour la prise en charge du basculement. Nous recommandons les déploiements multi-AZ pour les charges de travail de production afin de maintenir une haute disponibilité. À des fins de développement et de test, vous pouvez utiliser un déploiement qui n'est pas multi-AZ. Pour plus d’informations, consultez Haute disponibilité pour Amazon Aurora.
-
Politiques IAM : votre AWS compte dispose-t-il de politiques qui accordent les autorisations nécessaires pour effectuer des opérations Amazon RDS ? Si vous vous connectez à AWS l'aide d'informations d'identification IAM, votre compte IAM doit disposer de politiques IAM qui accordent les autorisations requises pour effectuer des opérations Amazon RDS. Pour plus d’informations, consultez Identity and Access Management pour Amazon Aurora.
-
Ports ouverts : sur quel port TCP/IP votre base de données écoute-t-elle ? Dans certaines entreprises, le pare-feu peut bloquer les connexions vers le port par défaut de votre moteur de base de données. Si le pare-feu de votre entreprise bloque le port par défaut, choisissez un autre port pour le nouveau cluster DB. Notez que lorsque vous créez un cluster de bases de données qui écoute sur un port spécifié par vos soins, vous pouvez changer de port en modifiant le cluster de bases de données.
AWS Région : Dans quelle AWS région souhaitez-vous disposer de votre base de données ? La proximité entre la base de données et l'application ou le service Web service permet de réduire la latence du réseau. Pour plus d'informations, consultez Régions et zones de disponibilité.
Lorsque vous disposez de toutes les informations nécessaires pour créer le groupe de sécurité et le cluster de bases de données, passez à l'étape suivante.
Créer un groupe de sécurité qui autorise l'accès au cluster de bases de données dans le VPC
Votre cluster de base de données sera créé dans un VPC. Les groupes de sécurité autorisent l'accès au cluster de bases de données dans le VPC. Ils font office de pare-feu pour le cluster de bases de données associé, en contrôlant le trafic entrant et le trafic sortant au niveau du cluster. Par défaut, les clusters de bases de données sont créés avec un pare-feu et un groupe de sécurité par défaut empêchant d'accéder au cluster de bases de données. Vous devez donc ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter à votre cluster de bases de données. Utilisez les informations relatives au réseau et à la configuration déterminées lors de l'étape précédente pour créer les règles autorisant l'accès à votre cluster de bases de données.
Par exemple, si l'une de vos applications doit accéder à une base de données de votre cluster de base de données situé dans un VPC, vous devez ajouter une règle TCP personnalisée qui spécifie la plage de ports et les adresses IP utilisées par l'application pour accéder à la base de données. Si vous possédez une application sur une instance Amazon EC2, vous pouvez utiliser le groupe de sécurité du VPC configuré pour l'instance Amazon EC2.
Vous pouvez configurer la connectivité entre une instance Amazon EC2 et un cluster de base de données lorsque vous créez le cluster de base de données. Pour plus d’informations, consultez Configurer la connectivité réseau automatique avec une instance EC2.
Astuce
Vous pouvez configurer la connectivité réseau entre une instance Amazon EC2 et un cluster de base de données automatiquement lorsque vous créez le cluster de base de données. Pour plus d’informations, consultez Configurer la connectivité réseau automatique avec une instance EC2.
Pour plus d'informations sur la création d'un VPC à utiliser avec Aurora, veuillez consulter Tutoriel : créer un VPC à utiliser avec un(e) cluster de base de données (IPv4 uniquement). Pour plus d'informations sur les scénarios courants d'accès à une instance de base de données, consultez Scénarios d'accès à un(e) cluster de base de données d'un VPC.
Pour créer un groupe de sécurité VPC
-
Note
Assurez-vous que vous êtes dans la console VPC, et non dans la console RDS.
Dans le coin supérieur droit du AWS Management Console, choisissez la AWS région dans laquelle vous souhaitez créer votre groupe de sécurité VPC et votre cluster de base de données. Dans la liste des ressources Amazon VPC pour cette région AWS , vous devriez voir au moins un VPC et plusieurs sous-réseaux. Si ce n'est pas le cas, vous n'avez pas de VPC par défaut dans cette AWS région.
Dans le panneau de navigation, choisissez Groupes de sécurité.
-
Sélectionnez Create security group (Créer un groupe de sécurité).
La page Create security group (Créer un groupe de sécurité) s'affiche.
DansBasic details (Détails de base), renseignez les champs Security group name (Nom du groupe de sécurité) et Description. Pour VPC, choisissez le VPC dans lequel vous souhaitez créer votre cluster de base de données.
Dans Inbound rules (Règles entrantes), choisissez Add rule (Ajouter une règle).
Pour Type, choisissez Custom TCP (TCP personnalisé).
Pour Port range (Plage de ports), entrez la valeur de port à utiliser pour votre cluster de base de données.
-
Pour Source, choisissez un nom de groupe de sécurité ou tapez la plage d'adresses IP (valeur CIDR) à partir de laquelle vous accédez au cluster de base de données. Si vous choisissez My IP (Mon IP), l'accès au cluster de base de données est autorisé à partir de l'adresse IP détectée dans votre navigateur.
Si vous devez ajouter d'autres adresses IP ou des plages de ports différentes, choisissez Add rule (Ajouter une règle) et saisissez les informations relatives à la règle.
(Facultatif) Dans Outbound rules (Règles sortantes), ajoutez des règles pour le trafic sortant. Par défaut, tous les trafics sortant sont autorisés.
-
Sélectionnez Créer un groupe de sécurité.
Vous pouvez utiliser le groupe de sécurité VPC que vous venez de créer pour votre cluster de base de données lors de sa création.
Note
Si vous utilisez un VPC par défaut, un groupe de sous-réseaux par défaut couvrant l'ensemble des sous-réseaux du VPC a déjà été créé pour vous. Lorsque vous créez un cluster de base de données, vous pouvez sélectionner le VPC par défaut et utiliser default (par défaut) pour DB Subnet Group (Groupe de sous-réseaux de base de données).
Une fois que vous avez terminé la configuration requise, vous pouvez créer un cluster de base de données en utilisant votre configuration et votre groupe de sécurité en suivant les instructions de la section Création d'un cluster de base de données Amazon Aurora. Pour plus d'informations sur la création d'un cluster de base de données utilisant un moteur de base de données spécifique, veuillez consulter Mise en route avec Amazon Aurora.
