設定您的 Amazon Aurora 環境 - Amazon Aurora
註冊一個 AWS 帳戶建立具有管理存取權的使用者授與程式設計存取權判定需求提供對資料庫叢集的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定您的 Amazon Aurora 環境

首次使用 Amazon Aurora 之前,請先完成下列作業:

如果您已經擁有 AWS 帳戶,了解您的 Aurora 要求,並且更喜歡使用IAM和VPC安全組的默認值,請跳到Amazon Aurora 入門

註冊一個 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個步驟。

若要註冊成為 AWS 帳戶

  1. 打開https://portal.aws.amazon.com/billing/註冊

  2. 請遵循線上指示進行。

    部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。

    當您註冊一個 AWS 帳戶,一個 AWS 帳戶根使用者已建立。根使用者可以存取所有 AWS 服務 和帳戶中的資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時前往 https://aws.amazon.com/並選擇「我的帳戶」,檢視目前的帳戶活動並管理您的帳戶

建立具有管理存取權的使用者

在您註冊一個 AWS 帳戶,保護您的 AWS 帳戶根使用者,啟用 AWS IAM Identity Center,並建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。

保護您的 AWS 帳戶根使用者

  1. 登入 AWS Management Console通過選擇 Root 用戶並輸入您的帳戶所有者 AWS 帳戶 電子郵件地址。在下一頁中,輸入您的密碼。

    如需使用 root 使用者登入的說明,請參閱以 root 使用者身分登AWS 登入 用戶指南

  2. 為您的 root 使用者開啟多因素驗證 (MFA)。

    如需指示,請參閱為您的MFA裝置啟用虛擬裝置 AWS 帳戶 使用者指南中的 root IAM 使用者 (主控台)。

建立具有管理存取權的使用者

  1. 啟用IAM身分識別中心。

    如需指示,請參閱啟用 AWS IAM Identity Center 中的 AWS IAM Identity Center 用戶指南

  2. 在IAM身分識別中心中,將管理存取權授與使用者。

    若要取得有關使用 IAM Identity Center 目錄 做為您的身分識別來源,請參閱以預設值設定使用者存取 IAM Identity Center 目錄 中的 AWS IAM Identity Center 用戶指南

以具有管理存取權的使用者身分登入

  • 若要使用您的 IAM Identity Center 使用者登入URL,請使用建立IAM身分識別中心使用者時傳送至您電子郵件地址的登入資訊。

    如需使用IAM身分識別中心使用者登入的說明,請參閱登入 AWS 存取入口網站 AWS 登入 用戶指南

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立遵循套用最低權限權限的最佳作法的權限集。

    如需指示,請參閱 AWS IAM Identity Center 用戶指南

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱新增群組 AWS IAM Identity Center 用戶指南

授與程式設計存取權

如果用戶想要與之互動,則需要以程式設計方式存取 AWS 的之外 AWS Management Console。 授與程式設計存取權的方式取決於存取的使用者類型 AWS.

若要授與使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? By

人力身分

(在IAM身分識別中心管理的使用者)

 使用臨時登入資料來簽署程式設計要求 AWS CLI, AWS SDKs,或 AWS APIs.

請依照您要使用的介面所提供的指示操作。
IAM 使用臨時登入資料來簽署程式設計要求 AWS CLI, AWS SDKs,或 AWS APIs. 遵循使用臨時登入資料中的指示 AWS《IAM使用者指南》中的資源。
IAM

(不建議使用)

使用長期認證來簽署程式設計要求 AWS CLI, AWS SDKs,或 AWS APIs.

請依照您要使用的介面所提供的指示操作。

判定需求

Aurora 的基本建置區塊為資料庫叢集。資料庫叢集可以有一或多個資料庫執行個體。資料庫叢集提供一個網路地址,稱為叢集端點。每當您的應用程式需要存取資料庫叢集中建立的資料庫時,就會連線到該資料庫叢集公開的叢集端點。您建立資料庫叢集時所指定的資訊控制了組態元素,像是記憶體、資料庫引擎和版本、網路組態、安全性、維護期間。

在建立資料庫叢集和安全群組之前,您必須知道您的資料庫叢集和網路需求。這裡是一些要考慮的注意事項:

  • 資源需求 ​– 您的應用程式或服務的記憶體和處理器需求為何? 當您建立資料庫叢集時,將使用這些設定來判定要使用的資料庫執行個體類別。如需關於資料庫執行個體類別的規格,請參閱 Amazon Aurora 數據庫實例類

  • VPC、子網路和安全群組 — 您的資料庫叢集將位於虛擬私有雲 (VPC) 中。您必須設定安全群組規則,才能連線至資料庫叢集。下列清單說明每個VPC選項的規則:

    • 預設 VPC — 如果您的 AWS 帳戶中的預VPC設值 AWS 區域,設定VPC為支援資料庫叢集。如果您在建立資料庫叢集VPC時指定預設值:

      • 請務必建立VPC安全群組,以授權從應用程式或服務到 Aurora DB 叢集的連線。使用主VPC控台上的「安全性群組」選項,或 AWS CLI 以建立VPC安全性群組。如需相關資訊,請參閱「步驟 3:建立VPC安全群組」。

      • 您必須指定預設的資料庫子網路群組。如果這是您在 AWS 區域中,Amazon RDS 會在建立資料庫叢集時建立預設的資料庫子網路群組。

    • 使用者定義 VPC — 如果您要在建立資料庫叢集VPC時指定使用者定義:

      • 請務必建立VPC安全群組,以授權從應用程式或服務到 Aurora DB 叢集的連線。使用主VPC控台上的「安全性群組」選項,或 AWS CLI 以建立VPC安全性群組。如需相關資訊,請參閱 步驟 3:建立VPC安全群組

      • VPC必須符合特定需求才能託管資料庫叢集,例如至少有兩個子網路,每個子網路都位於個別的可用區域中。如需相關資訊,請參閱 Amazon VPC 和 極光

      • 您必須指定資料庫子網路群組,以定義資料庫叢集VPC可使用的子網路。如需詳細資訊,請參閱在 中使用資料庫叢集 VPC中的資料庫子網路群組小節。

  • 高可用性:您需要容錯移轉支援嗎? 在 Aurora 上,異地同步備份部署會建立主要執行個體和 Aurora 複本。您可以將主要執行個體和 Aurora 複本設定為位於不同的可用區域,以便支援容錯移轉。建議對生產工作負載使用異地同步備份部署以保有高可用性。若為了開發和測試目的,您可以使用非異地同步備份的部署。如需詳細資訊,請參閱Amazon Aurora 的高可用性

  • IAM政策:你的 AWS 帳戶有政策授予執行 Amazon RDS 操作所需的許可? 如果您要連線到 AWS 使用IAM登入資料時,您的IAM帳戶必須具有授予執行 Amazon RDS 操作所需許可的IAM政策。如需詳細資訊,請參閱Aurora 的身份和訪問管理

  • 開啟連接埠:您的資料庫會偵聽哪個 TCP /IP 連接埠? 某些公司的防火牆可能會封鎖與您的資料庫引擎預設連接埠的連線。如果您的公司防火牆會封鎖預設連接埠,請為新的資料庫叢集選擇另一個連接埠。請注意,建立在指定連接埠上接聽的資料庫叢集後,可以透過修改資料庫叢集來變更連接埠。

  • AWS 地區:什麼 AWS 您想要資料庫的區域嗎? 將資料庫放在鄰近應用程式或 Web 服務的位置可以減少網路延遲。如需更多詳細資訊,請參閱 區域和可用區域

備妥建立安全群組和資料庫叢集所需的資訊後,請繼續進行下一個步驟。

透過建立安全性群組,提供對中VPC資料庫叢集的存取

您的資料庫叢集將在VPC. 安全群組可提供對中資料庫叢集的存取VPC。其作用就像相關聯資料庫叢集的防火牆,從叢集層級控制傳入和傳出流量。資料庫叢集建立時預設提供防火牆以及可避免資料庫叢集遭到存取的預設安全群組。因此您必須將規則新增至安全群組,讓您能連線到資料庫叢集。使用您在先前步驟中判斷的網路和組態資訊,來建立允許存取資料庫叢集的規則。

例如,如果您有一個應用程式將存取資料庫叢集中的資料庫VPC,則必須新增自訂TCP規則,以指定應用程式將用來存取資料庫的連接埠範圍和 IP 位址。如果 Amazon EC2 執行個體上有應用程式,則可以使用為 Amazon EC2 執行個體設定的VPC安全群組。

您可以在建立資料庫叢集時,設定 Amazon EC2 執行個體與資料庫叢集之間的連線。如需詳細資訊,請參閱設定與 EC2 執行個體的自動網路連線

提示

您可以在建立資料庫叢集時自動設定 Amazon EC2 執行個體和資料庫叢集之間的網路連線。如需詳細資訊,請參閱設定與 EC2 執行個體的自動網路連線

如需建立與 Aurora 搭配使VPC用的詳細資訊,請參閱教學課程:建立要與資料庫叢集搭配使用的 VPC (僅限 IPv4)。如需存取資料庫執行個體常見案例的相關資訊,請參閱存取 中資料庫叢集的案例 VPC

若要建立VPC安全性群組

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/v pc 打開 Amazon VPC 控制台。

    注意

    請確定您位於VPC主控台中,而非主RDS控台。

  2. 在右上角的 AWS Management Console,選擇 AWS 您要建立VPC安全群組和資料庫叢集的區域。在 Amazon 資VPC源列表中 AWS 區域中,您應該會看到至少一個VPC和多個子網路。如果你不這樣做,你沒有默認值 VPC AWS 區域。

  3. 在導覽窗格中,選擇 Security Groups (安全群組)。

  4. 選擇 Create Security Group (建立安全群組)。

    隨即會顯示 Create security group (建立安全群組) 頁面。

  5. Basic details (基本詳細資訊) 中,分別在 Security group name (安全群組名稱)Description (描述) 中輸入相應內容。在中 VPC,選擇您VPC要在其中建立資料庫叢集的資料庫叢集。

  6. Inbound rules (入站規則) 中,選擇 Add rule (新增規則)

    1. 選擇「自訂」做為「類型」TCP。

    2. Port range (連接埠範圍) 中,輸入要用於資料庫叢集的連接埠值。

    3. 在來中,選擇安全群組名稱,或輸入存取資料庫叢集的 IP 位址範圍 (CIDR值)。如果選擇 My IP (我的 IP),此舉允許透過您的瀏覽器中偵測到的 IP 地址存取資料庫叢集。

  7. 如果需要新增更多 IP 地址或不同的連接埠範圍,請選擇 Add rule (新增規則) 並輸入規則的資訊。

  8. (選用) 在 Outbound Rules (輸出規則) 中,新增輸出流量的規則。預設會允許所有傳出流量。

  9. 選擇建立安全群組

建立資料庫叢集時,您可以使用剛建立的安全性群組做為資料庫叢集的安全性群組。VPC

注意

如果您使用預設值VPC,則會為您建立跨越所有子網路VPC的預設子網路群組。建立資料庫叢集時,您可以為資料庫子網路群組選取預設值VPC並使用預設值

完成設定需求後,您可以依照 建立 Amazon Aurora 資料庫叢集 中的指示,使用您的需求和安全群組建立資料庫叢集。如需建立使用特定資料庫引擎之資料庫叢集的相關資訊,請參閱Amazon Aurora 入門