設定您的 Amazon Aurora 環境 - Amazon Aurora
註冊 AWS 帳戶建立具有管理存取權的使用者授與程式設計存取權判定需求提供對資料庫叢集的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定您的 Amazon Aurora 環境

首次使用 Amazon Aurora 之前,請先完成下列作業:

如果您已有 AWS 帳戶,請了解您的 Aurora 需求,並偏好使用 IAM和 VPC安全群組的預設值,請跳到 Amazon Aurora 入門

註冊 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟以建立。

註冊 AWS 帳戶

  1. 開啟https://portal.aws.amazon.com/billing/註冊

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時前往 https://aws.amazon.com/ 並選擇我的帳戶,以檢視目前的帳戶活動和管理您的帳戶

建立具有管理存取權的使用者

註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。

保護您的 AWS 帳戶根使用者

  1. 選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console身分登入 。在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 為您的根使用者開啟多重驗證 (MFA)。

    如需說明,請參閱IAM《 使用者指南》中的為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬MFA裝置

建立具有管理存取權的使用者

  1. 啟用IAM身分中心。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的啟用 AWS IAM Identity Center

  2. 在 IAM Identity Center 中,將管理存取權授予使用者。

    如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱AWS IAM Identity Center 《 使用者指南》中的使用預設值設定使用者存取權 IAM Identity Center 目錄

以具有管理存取權的使用者身分登入

  • 若要使用 IAM Identity Center 使用者登入,請使用您建立 IAM Identity Center 使用者時URL傳送到您電子郵件地址的登入。

    如需使用 IAM Identity Center 使用者登入的說明,請參閱AWS 登入 《 使用者指南》中的登入 AWS 存取入口網站

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立遵循套用最低權限許可最佳實務的許可集。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的新增群組

授與程式設計存取權

如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS Management Console。授予程式設計存取的方式取決於存取的使用者類型 AWS。

若要授與使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? 根據

人力資源身分

(在 IAM Identity Center 中管理的使用者)

 使用暫時登入資料簽署對 AWS CLI AWS SDKs或 的程式設計請求 AWS APIs。

請依照您要使用的介面所提供的指示操作。
IAM 使用暫時登入資料簽署對 AWS CLI AWS SDKs或 的程式設計請求 AWS APIs。 遵循 IAM 使用者指南中的使用臨時登入資料與 AWS 資源的指示。
IAM

(不建議使用)

使用長期登入資料簽署程式設計請求至 AWS CLI、 AWS SDKs 或 AWS APIs。

請依照您要使用的介面所提供的指示操作。

判定需求

Aurora 的基本建置區塊為資料庫叢集。資料庫叢集可以有一或多個資料庫執行個體。資料庫叢集提供一個網路地址,稱為叢集端點。每當您的應用程式需要存取資料庫叢集中建立的資料庫時,就會連線到該資料庫叢集公開的叢集端點。您建立資料庫叢集時所指定的資訊控制了組態元素,像是記憶體、資料庫引擎和版本、網路組態、安全性、維護期間。

在建立資料庫叢集和安全群組之前,您必須知道您的資料庫叢集和網路需求。這裡是一些要考慮的注意事項:

  • 資源需求 ​– 您的應用程式或服務的記憶體和處理器需求為何? 當您建立資料庫叢集時,將使用這些設定來判定要使用的資料庫執行個體類別。如需關於資料庫執行個體類別的規格,請參閱 Amazon Aurora 數據庫實例類

  • VPC、子網路和安全群組 – 資料庫叢集將位於虛擬私有雲端 (VPC)。您必須設定安全群組規則,才能連線至資料庫叢集。下列清單說明每個VPC選項的規則:

    • 預設 VPC — 如果 AWS 您的帳戶VPC在 AWS 區域中具有預設值,則VPC設定為支援資料庫叢集。如果您在建立資料庫叢集VPC時指定預設值:

      • 請務必建立VPC安全群組,以授權從應用程式或服務到 Aurora 資料庫叢集的連線。使用VPC主控台上的安全群組選項或 AWS CLI 來建立VPC安全群組。如需相關資訊,請參閱「步驟 3:建立 VPC 安全群組」。

      • 您必須指定預設的資料庫子網路群組。如果這是您在 AWS 區域中建立的第一個資料庫叢集,Amazon RDS將在建立資料庫叢集時建立預設資料庫子網路群組。

    • 使用者定義 VPC — 如果您想要在建立資料庫叢集VPC時指定使用者定義:

      • 請務必建立VPC安全群組,以授權從應用程式或服務到 Aurora 資料庫叢集的連線。使用VPC主控台上的安全群組選項或 AWS CLI 來建立VPC安全群組。如需相關資訊,請參閱 步驟 3:建立 VPC 安全群組

      • VPC 必須符合特定需求,才能託管資料庫叢集,例如至少有兩個子網路,每個子網路都位於個別的可用區域中。如需相關資訊,請參閱 Amazon VPC 和 極光

      • 您必須指定資料庫子網路群組,以定義資料庫叢集VPC可以使用哪些子網路。如需詳細資訊,請參閱在 VPC 中使用資料庫叢集中的資料庫子網路群組小節。

  • 高可用性:您需要容錯移轉支援嗎? 在 Aurora 上,異地同步備份部署會建立主要執行個體和 Aurora 複本。您可以將主要執行個體和 Aurora 複本設定為位於不同的可用區域,以便支援容錯移轉。建議對生產工作負載使用異地同步備份部署以保有高可用性。為了開發和測試目的,您可以使用 non-Multi-AZ 部署。如需詳細資訊,請參閱Amazon Aurora 的高可用性

  • IAM 政策: AWS 您的帳戶是否有政策可授予執行 Amazon RDS操作所需的許可? 如果您 AWS 使用IAM登入資料連線至 ,IAM您的帳戶必須具有授予執行 Amazon RDS操作所需許可IAM的政策。如需詳細資訊,請參閱Amazon Aurora 的身分和存取管理

  • 開放連接埠:您的資料庫將接聽哪個 TCP/IP 連接埠? 某些公司的防火牆可能會封鎖與您的資料庫引擎預設連接埠的連線。如果您的公司防火牆會封鎖預設連接埠,請為新的資料庫叢集選擇另一個連接埠。請注意,建立在指定連接埠上接聽的資料庫叢集後,可以透過修改資料庫叢集來變更連接埠。

  • AWS 區域:您希望資料庫位於哪個 AWS 區域? 將資料庫放在鄰近應用程式或 Web 服務的位置可以減少網路延遲。如需更多詳細資訊,請參閱 區域和可用區域

備妥建立安全群組和資料庫叢集所需的資訊後,請繼續進行下一個步驟。

透過建立安全群組,在 中提供資料庫叢集VPC的存取權

您的資料庫叢集將在 中建立VPC。安全群組可讓您存取 中的資料庫叢集VPC。其作用就像相關聯資料庫叢集的防火牆,從叢集層級控制傳入和傳出流量。資料庫叢集建立時預設提供防火牆以及可避免資料庫叢集遭到存取的預設安全群組。因此您必須將規則新增至安全群組,讓您能連線到資料庫叢集。使用您在先前步驟中判斷的網路和組態資訊,來建立允許存取資料庫叢集的規則。

例如,如果您的應用程式將存取 中資料庫叢集上的資料庫VPC,您必須新增自訂TCP規則,指定應用程式用來存取資料庫的連接埠範圍和 IP 地址。如果您在 Amazon EC2執行個體上有應用程式,您可以使用您為 Amazon EC2執行個體設定VPC的安全群組。

您可以在建立資料庫叢集時設定資料庫叢集的 Amazon EC2執行個體之間的連線。如需詳細資訊,請參閱設定與EC2執行個體的自動網路連線

提示

您可以在建立資料庫叢集時,自動設定 Amazon EC2執行個體與資料庫叢集之間的網路連線。如需詳細資訊,請參閱設定與EC2執行個體的自動網路連線

如需如何將 Amazon Lightsail 中的資源連接至資料庫叢集的詳細資訊,請參閱AWS 服務 使用VPC對等互連將 Lightsail 資源連接至

如需建立 VPC 以搭配 Aurora 使用的詳細資訊,請參閱 教學課程:建立要與資料庫叢集搭配使用的 VPC (僅限 IPv4)。如需存取資料庫執行個體常見案例的相關資訊,請參閱存取 中資料庫叢集的案例 VPC

建立VPC安全群組

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/vpc 開啟 Amazon VPC主控台。

    注意

    請確定您位於 VPC 主控台中,而非 RDS主控台中。

  2. 在 的右上角 AWS Management Console,選擇您要建立VPC安全群組和資料庫叢集 AWS 的區域。在該 AWS 區域的 Amazon VPC 資源清單中,您應該至少會看到一個VPC和數個子網路。如果沒有,則表示VPC您在該 AWS 區域中沒有預設值。

  3. 在導覽窗格中,選擇 Security Groups (安全群組)。

  4. 選擇 Create Security Group (建立安全群組)。

    隨即會顯示 Create security group (建立安全群組) 頁面。

  5. Basic details (基本詳細資訊) 中,分別在 Security group name (安全群組名稱)Description (描述) 中輸入相應內容。針對 VPC,選擇您要VPC在其中建立資料庫叢集的 。

  6. Inbound rules (入站規則) 中,選擇 Add rule (新增規則)

    1. 針對類型,選擇自訂 TCP

    2. Port range (連接埠範圍) 中,輸入要用於資料庫叢集的連接埠值。

    3. 針對來源,選擇安全群組名稱,或輸入您存取資料庫叢集的 IP 地址範圍 (CIDR 值)。如果選擇 My IP (我的 IP),此舉允許透過您的瀏覽器中偵測到的 IP 地址存取資料庫叢集。

  7. 如果需要新增更多 IP 地址或不同的連接埠範圍,請選擇 Add rule (新增規則) 並輸入規則的資訊。

  8. (選用) 在 Outbound Rules (輸出規則) 中,新增輸出流量的規則。預設會允許所有傳出流量。

  9. 選擇建立安全群組

您可以在建立資料庫叢集時,使用您剛建立VPC的安全群組做為其安全群組。

注意

如果您使用預設 VPC,則會為您建立跨越所有 子網路的預設VPC子網路群組。建立資料庫叢集時,您可以選取預設,VPC並針對資料庫子網路群組使用預設

完成設定需求後,您可以依照 建立 Amazon Aurora 資料庫叢集 中的指示,使用您的需求和安全群組建立資料庫叢集。如需建立使用特定資料庫引擎之資料庫叢集的相關資訊,請參閱Amazon Aurora 入門