Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichten Ihrer Umgebung für Amazon RDS
Diese Seite enthält eine umfassende Anleitung zur Einrichtung von Amazon Relational Database Service, einschließlich Kontokonfiguration, Sicherheit und Ressourcenverwaltung. Sie führt Sie durch die wichtigsten Schritte, um Ihre Datenbankumgebungen effizient zu erstellen, zu verwalten und zu sichern. Egal, ob Sie neu bei Amazon RDS sind oder eine Umgebung für spezielle Anforderungen einrichten – diese Abschnitte helfen Ihnen, sicherzustellen, dass Ihre Einrichtung optimiert ist und den bewährten Methoden entspricht.
Themen
Wenn Sie bereits ein AWS-Konto besitzen, Ihre Amazon-RDS-Anforderungen kennen und lieber die Standardwerte für IAM- und VPC-Sicherheitsgruppen verwenden, können Sie mit Erste Schritte mit Amazon RDS fortfahren.
So melden Sie sich für ein AWS-Konto an
Wenn Sie kein AWS-Konto haben, führen Sie die folgenden Schritte zum Erstellen durch.
Anmeldung für ein AWS-Konto
Öffnen Sie https://portal.aws.amazon.com/billing/signup
. Folgen Sie den Online-Anweisungen.
Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für ein AWS-Konto anmelden, wird ein Root-Benutzer des AWS-Kontos erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Administratorbenutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um Aufgaben auszuführen, die Root-Benutzerzugriff erfordern.
AWS sendet Ihnen eine Bestätigungs-E-Mail, sobald die Anmeldung abgeschlossen ist. Sie können jederzeit Ihre aktuelle Kontoaktivität anzeigen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/
Erstellen eines Benutzers mit Administratorzugriff
Nachdem Sie sich für ein AWS-Kontoangemeldet haben, sichern Sie Ihr Root-Benutzer des AWS-Kontos, aktivieren Sie AWS IAM Identity Centerund erstellen Sie einen administrativen Benutzer, damit Sie nicht den Root-Benutzer für alltägliche Aufgaben verwenden.
Schützen Ihres Root-Benutzer des AWS-Kontos
-
Melden Sie sich bei AWS-Managementkonsole
als Kontobesitzer an, indem Sie Stammbenutzer auswählen und Ihre AWS-Konto-E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein. Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter Anmelden als Root-Benutzer im AWS-Anmeldung Benutzerhandbuch zu.
-
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.
Anweisungen dazu finden Sie unter Aktivieren eines virtuellen MFA-Geräts für den Root-Benutzer Ihres AWS-Konto (Konsole) im IAM-Benutzerhandbuch.
Erstellen eines Benutzers mit Administratorzugriff
-
Aktivieren Sie das IAM Identity Center.
Anweisungen finden Sie unter Aktivieren AWS IAM Identity Center im AWS IAM Identity Center Benutzerhandbuch.
-
Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.
Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie unter Konfigurieren des Benutzerzugriffs mit der Standard-IAM-Identity-Center-Verzeichnis im AWS IAM Identity Center-Benutzerhandbuch.
Anmelden als Administratorbenutzer
-
Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.
Hilfe bei der Anmeldung mit einem IAM-Identity-Center-Benutzer finden Sie unter Anmelden beim AWS-Zugangsportal im AWS-Anmeldung Benutzerhandbuch zu.
Weiteren Benutzern Zugriff zuweisen
-
Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.
Anweisungen hierzu finden Sie unter Berechtigungssatz erstellen im AWS IAM Identity Center Benutzerhandbuch.
-
Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.
Eine genaue Anleitung finden Sie unter Gruppen hinzufügen im AWS IAM Identity Center Benutzerhandbuch.
Erteilen programmgesteuerten Zugriffs
Benutzer benötigen programmgesteuerten Zugriff, wenn sie außerhalb der AWS-Managementkonsole mit AWS interagieren möchten. Die Vorgehensweise, um programmgesteuerten Zugriff zu gewähren, hängt davon ab, welcher Benutzertyp auf zugreift AWS.
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
|---|---|---|
|
Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) |
Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. | Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen im IAM-Benutzerhandbuch. |
| IAM | (Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
Ermitteln der Anforderungen
Die Grundbausteine für Amazon RDS sind Datenbank-Instances. In einer DB-Instance erstellen Sie Ihre Datenbanken. Eine DB-Instance gibt eine Netzwerkadresse, den sogenannten Endpunkt, an. Ihre Anwendungen verwenden diesen Endpunkt, um eine Verbindung mit Ihrer DB-Instance einzurichten. Wenn Sie eine DB-Instance erstellen, geben Sie Details wie Speicher, Arbeitsspeicher, Datenbank-Engine und -Version, Netzwerkkonfiguration, Sicherheit und Wartungszeiträume an. Der Netzwerkzugriff auf eine DB-Instance wird über eine Sicherheitsgruppe kontrolliert.
Bevor Sie eine DB-Instance und eine Sicherheitsgruppe erstellen, müssen Sie Ihre DB-Instance und die Netzwerkanforderungen kennen. Hier einige wichtige Dinge, die Sie berücksichtigen sollten:
Ressourcenanforderungen – Welche Anforderungen haben Sie an den Arbeitsspeicher und den Prozessor für Ihre Anwendung oder Ihren Service? Sie verwenden diese Einstellungen, um zu bestimmen, welche DB-Instance-Klasse Sie verwenden sollten. Spezifikationen für alle verfügbaren DB-Instance-Klassen finden Sie unter DB-Instance-Klassen .
VPC, Subnetz und Sicherheitsgruppe – Ihre DB-Instance befindet sich sehr wahrscheinlich in einer Virtual Private Cloud (VPC). Um eine Verbindung zu Ihrer DB-Instance einzurichten, müssen Sie Sicherheitsgruppenregeln festlegen. Diese Regeln werden abhängig von der Art der VPC und davon, wie Sie diese VPC verwenden, unterschiedlich eingerichtet. Sie können beispielsweise eine Standard-VPC oder eine benutzerdefinierte VPC verwenden.
Die folgende Liste beschreibt die Regeln für jede VPC-Option:
-
Standard-VPC – Sofern Ihr AWS-Konto über eine Standard-VPC in der aktuellenAWS -Region verfügt, wird diese VPC für die Unterstützung von DB-Instances konfiguriert. Führen Sie folgende Schritte aus, wenn Sie beim Erstellen der DB-Instance die Standard-VPC angeben:
-
Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Amazon-RDS-DB-Instance autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 3: Erstellen einer VPC-Sicherheitsgruppe.
-
Geben Sie die Standard-DB-Subnetzgruppe an. Wenn dies die erste DB-Instance ist, die Sie in dieser AWS-Region angelegt haben, erstellt Amazon RDS beim Anlegen der DB-Instance die Standard-DB-Subnetzgruppe.
-
-
Benutzerdefinierte VPC – Wenn Sie beim Erstellen einer DB-Instance eine benutzerdefinierte VPC angeben möchten, müssen Sie Folgendes beachten:
-
Sie müssen eine VPC-Sicherheitsgruppe anlegen, die Verbindungen von der Anwendung oder dem Service zum Amazon-RDS-DB-Instance autorisiert. Verwenden Sie die Option Sicherheitsgruppe in der VPC-Konsole oder in AWS CLI, um VPC-Sicherheitsgruppen zu erstellen. Weitere Informationen finden Sie unter Schritt 3: Erstellen einer VPC-Sicherheitsgruppe.
-
Die VPC muss bestimmte Anforderungen erfüllen, um DB-Instances bereitzustellen, z. B. das Vorhandensein von zwei Subnetzen in jeweils einer separaten Availability Zone. Weitere Informationen finden Sie unter Amazon VPC und Amazon RDS.
-
Sie müssen eine DB-Subnetzgruppe angeben, die definiert, welche Subnetze in dieser VPC von der DB-Instance genutzt werden können. Weitere Informationen erhalten Sie im Abschnitt "DB-Subnetzgruppen" unter Arbeiten mit einer DB-Instance in einer VPC.
-
-
-
Hohe Verfügbarkeit: Benötigen Sie Failover-Unterstützung? Auf Amazon RDS erzeugt eine Multi-AZ-Bereitstellung eine primäre DB-Instance und eine sekundäre Standby-DB-Instance in einer anderen Availability Zone, um einen Failover-Anwendungsfall zu unterstützen. Wir empfehlen Multi-AZ-Bereitstellungen, um die hohe Verfügbarkeit von Produktions-Workloads sicherzustellen. Für Entwicklungs- und Testzwecke reicht gewöhnlich eine Bereitstellung ohne Multi-AZ. Weitere Informationen finden Sie unter Konfigurieren und Verwalten einer Multi-AZ-Bereitstellung für Amazon RDS.
-
IAM-Richtlinien: Verfügt Ihr AWS-Konto über Richtlinien, die erforderlichen Berechtigungen zum Ausführen von Amazon-RDS-Operationen gewähren? Wenn Sie sich mit AWS mithilfe von IAM-Anmeldeinformationen anmelden, muss Ihr IAM-Konto die IAM-Zugriffsrichtlinien mit den erforderlichen Berechtigungen für das Durchführen von Amazon-RDS-Vorgängen enthalten. Weitere Informationen finden Sie unter Identity and Access Management für Amazon RDS.
-
Offene Ports: Welchen TCP/IP-Port überwacht Ihre Datenbank? Die Firewalls einiger Unternehmen blockieren möglicherweise Verbindungen zum Standard-Port für Ihre Datenbank-Engine. Wenn die Firewall Ihres Unternehmens den Standardport blockiert, wählen Sie für die neue DB-Instance einen anderen Port. Beachten Sie, dass Sie nach dem Erstellen einer DB-Instance, die einen angegebenen Port abfragt, diesen Port ändern können, indem Sie die DB-Instance modifizieren.
AWS Region: In welcher AWS-Region soll sich Ihre Datenbank befinden? Indem sich Ihre Datenbank nahe bei der Anwendung oder dem Webdienst befindet, könnten Netzwerklatenzen verringert werden. Weitere Informationen finden Sie unter Regionen, Availability Zones und Local Zones.
DB-Datenträgersubsystem: Welche Speicheranforderungen haben Sie? Amazon RDS bietet drei Speichertypen:
Allzweck (SSD)
Bereitgestellte IOPS (PIOPS)
-
Magnetic (auch bekannt als Standardspeicher)
Weitere Informationen zu Amazon-RDS-Speichern finden Sie unter Amazon-RDS-DB-Instance-Speicher.
Sobald Ihnen die benötigten Informationen zur Erstellung der Sicherheitsgruppe und der DB-Instance vorliegen, fahren Sie mit dem nächsten Schritt fort.
Ermöglichen des Zugriffs auf Ihre DB-Instance in der VPC durch Erstellen einer Sicherheitsgruppe
VPC-Sicherheitsgruppen bieten Zugriff auf DB-Instances in einer VPC. Sie fungieren als Firewall für die zugeordneten DB-Instances und steuern den ein- und ausgehenden Datenverkehr auf der DB-Instance-Ebene. DB-Instances werden standardmäßig mit einer Firewall und einer Standard-Sicherheitsgruppe erstellt, die DB-Instance schützen.
Bevor Sie eine Verbindung zu Ihrer DB-Instance einrichten können, müssen Sie einer Sicherheitsgruppe Regeln hinzufügen. Verwenden Sie Ihre Netzwerk- und Konfigurationsinformationen, um Regeln für den Zugriff auf Ihre DB-Instance festzulegen.
Nehmen wir beispielsweise an, dass Sie über eine Anwendung verfügen, die auf eine Datenbank in Ihrer DB-Instance in einer VPC zugreift. In diesem Fall müssen Sie eine benutzerdefinierte TCP-Regel hinzufügen, die den Portbereich und IP-Adressen angibt, womit die Anwendung auf die Datenbank zugreift. Befindet sich eine Anwendung auf einer Amazon EC2-Instance, können Sie die Sicherheitsgruppe verwenden, die Sie für die Amazon EC2-Instance eingerichtet haben.
Sie können die Konnektivität zwischen einer Amazon-EC2-Instance und einer DB-Instance konfigurieren, wenn Sie die DB-Instance erstellen. Weitere Informationen finden Sie unter Automatische Netzwerkkonnektivität mit einer EC2-Instance konfigurieren.
Tipp
Sie können die Netzwerkkonnektivität zwischen einer Amazon-EC2-Instance und einer DB-Instance automatisch einrichten, wenn Sie die DB-Instance erstellen. Weitere Informationen finden Sie unter Automatische Netzwerkkonnektivität mit einer EC2-Instance konfigurieren.
Informationen dazu, wie Sie Ressourcen in Amazon Lightsail mit Ihren DB-Instances verbinden, finden Sie unter Lightsail-Ressourcen mithilfe von VPC-Peering mit AWS-Services verbinden.
Informationen zu gängigen Szenarien für den Zugriff auf eine DB-Instance finden Sie unter Szenarien für den Zugriff auf eine DB-Instance in einer VPC.
So erstellen Sie eine VPC-Sicherheitsgruppe
-
Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc
. Anmerkung
Stellen Sie sicher, dass Sie sich in der VPC-Konsole befinden, nicht in der RDS-Konsole.
Wählen Sie in der oberen rechten Ecke der AWS-Managementkonsole die AWS-Region aus, in der Sie Ihre VPC-Sicherheitsgruppe und Ihre DB-Instance erstellen möchten. Die Liste der Amazon-VPC-Ressourcen für diese AWS-Region sollte zeigen, dass Sie über mindestens eine VPC und mehrere Subnetze verfügen. Anderenfalls haben Sie keine Standard-VPC in dieser AWS-Region.
Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.
-
Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.
Die Seite Sicherheitsgruppe erstellen wird angezeigt.
Geben Sie im Feld Grundlegende Details den Namen der Sicherheitsgruppe und die Beschreibung ein. Wählen Sie unter VPC die VPC aus, in der Sie Ihre DB-Instance erstellen möchten.
Wählen Sie in Eingehende Regeln die Option Regel hinzufügen.
Wählen Sie für Type (Typ) die Option Custom TCP (Benutzerdefiniertes TCP) aus.
Geben Sie für Portbereich den Portwert ein, der für Ihre DB-Instance verwendet werden soll.
-
Wählen Sie für Source (Quelle) den Namen einer Sicherheitsgruppe oder geben Sie den IP-Adressbereich (CIDR-Wert) ein, von dem aus Sie auf die DB-Instance zugreifen. Wenn Sie My IP (Meine IP) auswählen, ermöglicht dies den Zugriff auf die DB-Instance von der in Ihrem Browser erkannten IP-Adresse.
Wenn Sie weitere IP-Adressen oder andere Portbereiche hinzufügen müssen, wählen Sie Regel hinzufügen und geben Sie die Informationen für die Regel ein.
(Optional) Fügen Sie inRegeln für ausgehenden Datenverkehr Regeln für ausgehenden Datenverkehr hinzu. Standardmäßig ist der gesamte ausgehende Datenverkehr zugelassen.
-
Wählen Sie Create security group (Sicherheitsgruppe erstellen) aus.
Sie können die soeben erstellte VPC-Sicherheitsgruppe als die Sicherheitsgruppe beim Anlegen Ihrer DB-Instance verwenden.
Anmerkung
Wenn Sie eine Standard-VPC verwenden, wird eine Standard-Subnetzgruppe für Sie angelegt, die alle Subnetze der VPC umfasst. Wenn Sie eine DB-Instance erstellen, können Sie die Standard-VPC auswählen und default (Standard) für die DB Subnet Group (DB-Subnetzgruppe) verwenden.
Nachdem Sie die erforderliche Einrichtung abgeschlossen haben, können Sie eine DB-Instance unter Verwendung Ihrer Anforderungen und Sicherheitsgruppe erstellen. Befolgen Sie hierzu die Anweisungen unter Erstellen einer Amazon-RDS-DB-Instance. Informationen zum Einstieg in die Erstellung einer DB-Instance, die eine bestimmte DB-Engine verwendet, finden Sie in der entsprechenden Dokumentation aus der folgenden Tabelle.
Anmerkung
Wenn Sie nach dem Erstellen keine Verbindung zu einer DB-Instance herstellen können, finden Sie unter Informationen zur Problembehandlun Verbindung zur Amazon-RDS-DB-Instance kann nicht hergestellt werden.
