Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de votre RDS environnement Amazon
Cette page fournit un guide complet pour configurer Amazon Relational Database Service, y compris la configuration des comptes, la sécurité et la gestion des ressources. Il vous guide à travers les étapes essentielles pour créer, gérer et sécuriser efficacement vos environnements de base de données. Que vous utilisiez Amazon pour la première RDS fois ou que vous souhaitiez répondre à des exigences spécifiques, ces sections permettent de garantir que votre configuration est optimisée et conforme aux meilleures pratiques.
Rubriques
Si vous possédez déjà un Compte AWS, connaissez vos RDS besoins Amazon et préférez utiliser les valeurs par défaut IAM et les groupes VPC de sécurité, passez directement àMise en route avec Amazon RDS.
Inscrivez-vous pour un Compte AWS
Si vous n'avez pas de Compte AWS, procédez comme suit pour en créer un.
Pour vous inscrire à un Compte AWS
Ouvrez l'https://portal.aws.amazon.com/billing/inscription.
Suivez les instructions en ligne.
Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.
Lorsque vous vous inscrivez à un Compte AWS, une Utilisateur racine d'un compte AWSest créé. L'utilisateur root a accès à tous Services AWS et les ressources du compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l‘utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.
AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à https://aws.amazon.com/
Création d'un utilisateur doté d'un accès administratif
Une fois que vous vous êtes inscrit à un Compte AWS, sécurisez votre Utilisateur racine d'un compte AWS, activer AWS IAM Identity Center, et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
Sécurisez votre Utilisateur racine d'un compte AWS
-
Connectez-vous au AWS Management Console
en tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre Compte AWS adresse e-mail. Sur la page suivante, saisissez votre mot de passe. Pour obtenir de l'aide pour vous connecter à l'aide de l'utilisateur root, consultez la section Connexion en tant qu'utilisateur root dans Connexion à AWS Guide de l'utilisateur
-
Activez l'authentification multifactorielle (MFA) pour votre utilisateur root.
Pour obtenir des instructions, voir Activer un MFA appareil virtuel pour votre Compte AWS utilisateur root (console) dans le guide de IAM l'utilisateur.
Création d'un utilisateur doté d'un accès administratif
-
Activez IAM Identity Center.
Pour obtenir des instructions, voir Activation AWS IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur
-
Dans IAM Identity Center, accordez un accès administratif à un utilisateur.
Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur avec la valeur par défaut Répertoire IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur
Connexion en tant qu‘utilisateur doté d'un accès administratif
-
Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l'URLidentifiant envoyé à votre adresse e-mail lorsque vous avez créé l'utilisateur IAM Identity Center.
Pour obtenir de l'aide pour vous connecter à l'aide d'un utilisateur d'IAMIdentity Center, consultez la section Connexion au AWS portail d'accès dans le Connexion à AWS Guide de l'utilisateur
Attribution d'un accès à d'autres utilisateurs
-
Dans IAM Identity Center, créez un ensemble d'autorisations conforme à la meilleure pratique consistant à appliquer les autorisations du moindre privilège.
Pour obtenir des instructions, voir Créer un ensemble d'autorisations dans le AWS IAM Identity Center Guide de l'utilisateur
-
Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.
Pour obtenir des instructions, voir Ajouter des groupes dans AWS IAM Identity Center Guide de l'utilisateur
Octroi d’un accès par programmation
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS à l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
| Quel utilisateur a besoin d’un accès programmatique ? | Pour | Par |
|---|---|---|
|
Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) |
Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI, AWS SDKs, ou AWS APIs. |
Suivez les instructions de l’interface que vous souhaitez utiliser.
|
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI, AWS SDKs, ou AWS APIs. | En suivant les instructions de la section Utilisation d'informations d'identification temporaires avec AWS ressources du guide de IAM l'utilisateur. |
| IAM | (Non recommandé) Utilisez des informations d'identification à long terme pour signer les demandes programmatiques adressées au AWS CLI, AWS SDKs, ou AWS APIs. |
Suivez les instructions de l’interface que vous souhaitez utiliser.
|
Déterminer les exigences
L'élément de base d'Amazon RDS est l'instance de base de données. Dans une instance de base de données, vous pouvez créer vos bases de données. Une instance de base de données fournit une adresse réseau appelée point de terminaison. Vos applications utilisent ce point de terminaison pour se connecter à votre instance de base de données. Lorsque vous créez une instance de base de données, vous spécifiez des détails tels que le stockage, la mémoire, le moteur et la version de la base de données, la configuration réseau, la sécurité et les périodes de maintenance. Votre contrôlez l'accès réseau à une instance de base de données via un groupe de sécurité.
Avant de créer une instance de base de données et un groupe de sécurité, vous devez connaître les besoins en termes d'instances de base de données et de réseau. Voici quelques éléments importants à prendre en compte :
Exigences en matière de ressources– Quelles sont les exigences de votre application ou de votre service en termes de mémoire et de processeur ? Vous utilisez ces paramètres pour déterminer plus facilement la classe d'instance de base de données à utiliser. Pour obtenir les caractéristiques des classes des instances de bases de données, consultez Classes d'instances de base de données .
VPC, sous-réseau et groupe de sécurité : votre instance de base de données se trouvera très probablement dans un cloud privé virtuel (VPC). Pour vous connecter à votre instance de base de données, vous devez configurer des règles de groupes de sécurité. Ces règles sont configurées différemment en fonction du type d'appareil que VPC vous utilisez et de la manière dont vous l'utilisez. Par exemple, vous pouvez utiliser : une valeur par défaut VPC ou définie par l'utilisateurVPC.
La liste suivante décrit les règles applicables à chaque VPC option :
-
Par défaut VPC — Si votre AWS le compte possède une valeur par défaut VPC dans le compte actuel AWS Région, configurée pour prendre en charge les instances de base de données. VPC Si vous spécifiez la valeur par défaut VPC lorsque vous créez l'instance de base de données, procédez comme suit :
-
Assurez-vous de créer un groupe VPC de sécurité qui autorise les connexions entre l'application ou le service et l'RDSinstance de base de données Amazon. Utilisez l'option Groupe de sécurité sur la VPC console ou AWS CLI pour créer des groupes VPC de sécurité. Pour plus d’informations, veuillez consulter Étape 3 : Création d'un groupe VPC de sécurité.
-
Spécifiez le groupe de sous-réseaux DB par défaut. S'il s'agit de la première instance de base de données que vous avez créée dans ce AWS Région, Amazon RDS crée le groupe de sous-réseaux de base de données par défaut lorsqu'il crée l'instance de base de données.
-
-
Défini par l'utilisateur VPC — Si vous souhaitez spécifier une instance définie par l'utilisateur VPC lorsque vous créez une instance de base de données, tenez compte des points suivants :
-
Assurez-vous de créer un groupe VPC de sécurité qui autorise les connexions entre l'application ou le service et l'RDSinstance de base de données Amazon. Utilisez l'option Groupe de sécurité sur la VPC console ou AWS CLI pour créer des groupes VPC de sécurité. Pour plus d’informations, veuillez consulter Étape 3 : Création d'un groupe VPC de sécurité.
-
Ils VPC doivent répondre à certaines exigences pour héberger des instances de base de données, telles que le fait d'avoir au moins deux sous-réseaux, chacun dans une zone de disponibilité distincte. Pour plus d’informations, veuillez consulter Amazon VPC et Amazon RDS.
-
Assurez-vous de spécifier un groupe de sous-réseaux de base de données qui définit les sous-réseaux qui VPC peuvent être utilisés par l'instance de base de données. Pour plus d'informations, consultez la section Groupe de sous-réseau DB de Utilisation d'un d'instances de base de données dans un VPC.
-
-
-
Haute disponibilité : avez-vous besoin de la prise en charge du basculement ? Sur AmazonRDS, un déploiement multi-AZ crée une instance de base de données principale et une instance de base de données de secours secondaire dans une autre zone de disponibilité pour la prise en charge du basculement. Nous recommandons les déploiements multi-AZ pour les charges de travail de production afin de maintenir une haute disponibilité. À des fins de développement et de test, vous pouvez utiliser un déploiement qui n'est pas multi-AZ. Pour de plus amples informations, veuillez consulter Configuration et gestion d'un déploiement multi-AZ.
-
IAMpolitiques — Est-ce que votre AWS le compte dispose de politiques qui accordent les autorisations nécessaires pour effectuer des RDS opérations Amazon ? Si vous vous connectez à AWS à l'aide des IAM informations d'identification, votre IAM compte doit disposer de IAM politiques accordant les autorisations requises pour effectuer RDS des opérations Amazon. Pour de plus amples informations, veuillez consulter Gestion des identités et des accès pour Amazon RDS.
-
Ports ouverts : sur quel port TCP /IP votre base de données écoute-t-elle ? Dans certaines entreprises, les pare-feu peuvent bloquer les connexions vers le port par défaut de votre moteur de base de données. Si le pare-feu de votre entreprise bloque le port par défaut, choisissez un autre port pour la nouvelle instance de base de données. Lorsque vous créez une instance de base de données qui écoute sur un port spécifié par vos soins, vous pouvez changer de port en modifiant l'instance de base de données.
AWS Région — Quoi AWS Région dans laquelle souhaitez-vous accéder à votre base de données ? La proximité entre votre base de données et votre application ou le service Web service permet de réduire la latence du réseau. Pour de plus amples informations, veuillez consulter Régions, zones de disponibilité et zones locales.
Sous-système de disque de base de données : quels sont vos besoins en termes de stockage ? Amazon RDS propose trois types de stockage :
Usage général (SSD)
Provisionné IOPS () PIOPS
-
Magnétique (également appelé stockage standard)
Pour plus d'informations sur le RDS stockage Amazon, consultezStockage d'instance Amazon RDS DB.
Lorsque vous disposez de toutes les informations nécessaires pour créer le groupe de sécurité et l'instance de base de données, passez à l'étape suivante.
Donnez accès à votre instance de base VPC de données dans votre
VPCles groupes de sécurité fournissent un accès aux instances de base de données dans unVPC. Ils font office de pare-feu pour l'instance de base de données associée, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance de base de données. Par défaut, les instances de base de données sont créées avec un pare-feu et un groupe de sécurité par défaut protégeant l'instance de base de données.
Avant de pouvoir vous connecter à votre instance de base de données, vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter. Utilisez vos informations réseau et de configuration pour créer les règles autorisant l'accès à votre instance de base de données.
Supposons, par exemple, qu'une application accède à une base de données sur votre instance de base de données dans unVPC. Dans ce cas, vous devez ajouter une TCP règle personnalisée qui spécifie la plage de ports et les adresses IP que votre application utilise pour accéder à la base de données. Si vous avez une application sur une EC2 instance Amazon, vous pouvez utiliser le groupe de sécurité que vous avez configuré pour l'EC2instance Amazon.
Vous pouvez configurer la connectivité entre une EC2 instance Amazon et une instance de base de données lorsque vous créez l'instance de base de données. Pour de plus amples informations, veuillez consulter Configurer la connectivité réseau automatique avec une instance EC2.
Astuce
Vous pouvez configurer automatiquement la connectivité réseau entre une EC2 instance Amazon et une instance de base de données lorsque vous créez l'instance de base de données. Pour de plus amples informations, veuillez consulter Configurer la connectivité réseau automatique avec une instance EC2.
Pour plus d'informations sur les scénarios courants d'accès à une instance de base de données, consultez Scénarios d'accès à un d'instances de base de données dans un VPC.
Pour créer un groupe VPC de sécurité
-
Connectez-vous au AWS Management Console et ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc
. Note
Assurez-vous que vous êtes dans la VPC console et non dans la RDS console.
Dans le coin supérieur droit du AWS Management Console, choisissez AWS Région dans laquelle vous souhaitez créer votre groupe VPC de sécurité et votre instance de base de données. Dans la liste des VPC ressources Amazon à ce sujet AWS Région, vous devriez voir au moins un ou VPC plusieurs sous-réseaux. Si ce n'est pas le cas, vous n'avez pas de valeur par défaut VPC AWS Région.
Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).
-
Sélectionnez Create security group (Créer un groupe de sécurité).
La page Create security group (Créer un groupe de sécurité) s'affiche.
DansBasic details (Détails de base), renseignez les champs Security group name (Nom du groupe de sécurité) et Description. Pour VPC, choisissez VPC celui dans lequel vous souhaitez créer votre instance de base de données.
Dans Inbound rules (Règles entrantes), choisissez Add rule (Ajouter une règle).
Dans Type, choisissez Personnalisé TCP.
Pour Port range (Plage de ports), saisissez le numéro du port à utiliser pour votre instance de base de données.
-
Pour Source, choisissez un nom de groupe de sécurité ou saisissez la plage d'adresses IP (CIDRvaleur) à partir de laquelle vous accédez à l'instance de base de données. Si vous choisissez Mon IP, l'accès à l'instance de base de données est autorisé à partir de l'adresse IP détectée dans votre navigateur.
Si vous devez ajouter d'autres adresses IP ou des plages de ports différentes, choisissez Add rule (Ajouter une règle) et saisissez les informations relatives à la règle.
(Facultatif) Dans Outbound rules (Règles sortantes), ajoutez des règles pour le trafic sortant. Par défaut, tous les trafics sortant sont autorisés.
-
Sélectionnez Créer un groupe de sécurité.
Vous pouvez utiliser le groupe VPC de sécurité que vous venez de créer comme groupe de sécurité pour votre instance de base de données lorsque vous la créez.
Note
Si vous utilisez une valeur par défautVPC, un groupe de sous-réseaux par défaut couvrant tous les sous-réseaux est créé pour vous. VPC Lorsque vous créez une instance de base de données, vous pouvez sélectionner la valeur par défaut VPC et utiliser la valeur par défaut pour le groupe de sous-réseaux de base de données.
Une fois que vous avez terminé les exigences de configuration, vous pouvez créer une instance de base de données en utilisant votre configuration et votre groupe de sécurité. Pour ce faire, suivez les instructions dans Création d'une instance de base de données Amazon RDS. Pour plus d'informations sur le démarrage en créant une instance de base de données qui utilise un moteur de base de données spécifique, reportez-vous à la documentation pertinente dans le tableau suivant.
| Moteur de base de données | Documentation |
|---|---|
MariaDB |
Création d'une instance de base de données MariaDB et connexion à cette instance |
Microsoft SQL Server |
Création et connexion à une instance de base de données Microsoft SQL Server |
Mon SQL |
Création d'une instance de base de données MySQL et connexion à cette instance |
Oracle |
Création et connexion à une instance de base de données Oracle |
Poster SQL |
Création et connexion à une instance de base de données PostgreSQL |
Note
Si vous ne parvenez pas à vous connecter à une instance de base de données après l'avoir créée, veuillez consulter les informations de dépannage dans Impossible de se connecter à l'RDSinstance de base de données Amazon.
