Configuration de votre environnement Amazon RDS - Amazon Relational Database Service
S’inscrire à un Compte AWSCréation d’un utilisateur doté d’un accès administratifOctroi d’un accès par programmationDéterminer les exigencesFournir un accès à votre instance de base de données

Configuration de votre environnement Amazon RDS

Cette page fournit un guide complet pour configurer Amazon Relational Database Service, y compris la configuration des comptes, la sécurité et la gestion des ressources. Elle vous guide à travers les étapes essentielles pour créer, gérer et sécuriser efficacement vos environnements de base de données. Que vous utilisiez Amazon RDS pour la première fois ou que vous vous adaptiez à des exigences spécifiques, ces sections vous aident à garantir que votre configuration est optimisée et conforme aux bonnes pratiques.

Si vous possédez un Compte AWS, connaissez les exigences d'Amazon RDS et préférez utiliser les valeurs par défaut pour les groupes de sécurité IAM et VPC, passez directement à Mise en route avec Amazon RDS.

S’inscrire à un Compte AWS

Si vous n’avez pas de compte Compte AWS, procédez comme suit pour en créer un.

Pour s’inscrire à un Compte AWS

  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique ou un SMS et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous souscrivez à un Compte AWS, un Utilisateur racine d'un compte AWS est créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

AWS vous envoie un e-mail de confirmation lorsque le processus d’inscription est terminé. Vous pouvez afficher l’activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en choisissant Mon compte.

Création d’un utilisateur doté d’un accès administratif

Une fois que vous vous êtes inscrit à un Compte AWS, sécurisez l’Utilisateur racine d'un compte AWS, activez AWS IAM Identity Center et créez un utilisateur administratif afin de ne pas utiliser l’utilisateur root pour les tâches quotidiennes.

Sécurisation de votre Utilisateur racine d'un compte AWS

  1. Connectez-vous à la AWS Management Console en tant que propriétaire du compte en sélectionnant Root user (Utilisateur racine) et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur racine, consultez Connexion en tant qu’utilisateur racine dans le Guide de l’utilisateur Connexion à AWS.

  2. Activez l’authentification multifactorielle (MFA) pour votre utilisateur racine.

    Pour obtenir des instructions, consultez Activation d’un dispositif MFA virtuel pour l’utilisateur racine de votre Compte AWS (console) dans le Guide de l’utilisateur IAM.

Création d’un utilisateur doté d’un accès administratif

  1. Activez IAM Identity Center.

    Pour obtenir des instructions, consultez Activation d’AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center.

  2. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur.

    Pour un didacticiel sur l’utilisation de l’Répertoire IAM Identity Center comme source d’identité, consultez Configuration de l’accès utilisateur avec l’Répertoire IAM Identity Center par défaut dans le Guide de l’utilisateur AWS IAM Identity Center.

Connexion en tant qu’utilisateur doté d’un accès administratif

  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.

    Pour obtenir de l’aide pour vous connecter à l’aide d’un utilisateur IAM Identity Center, consultez Connexion au portail d’accès AWS dans le Guide de l’utilisateur Connexion à AWS.

Attribution d’un accès à d’autres utilisateurs

  1. Dans IAM Identity Center, créez un ensemble d’autorisations qui respecte la bonne pratique consistant à appliquer les autorisations de moindre privilège.

    Pour obtenir des instructions, consultez Création d’un ensemble d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center.

  2. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.

    Pour obtenir des instructions, consultez Ajout de groupes dans le Guide de l’utilisateur AWS IAM Identity Center.

Octroi d’un accès par programmation

Les utilisateurs ont besoin d’un accès programmatique s’ils souhaitent interagir avec AWS en dehors de la AWS Management Console. La manière d’octroyer un accès par programmation dépend du type d’utilisateur qui accède à AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ? Pour Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

 Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de l’interface que vous souhaitez utiliser.
IAM Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS. Suivez les instructions de la section Utilisation d’informations d’identification temporaires avec des ressources AWS dans le Guide de l’utilisateur IAM.
IAM

(Non recommandé)

Utilisez des informations d’identification à long terme pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Déterminer les exigences

La fondation de base d’Amazon RDS est l’instance de base de données. Dans une instance de base de données, vous pouvez créer vos bases de données. Une instance de base de données fournit une adresse réseau appelée point de terminaison. Vos applications utilisent ce point de terminaison pour se connecter à votre instance de base de données. Lorsque vous créez une instance de base de données, vous spécifiez des détails tels que le stockage, la mémoire, le moteur et la version de la base de données, la configuration réseau, la sécurité et les périodes de maintenance. Votre contrôlez l'accès réseau à une instance de base de données via un groupe de sécurité.

Avant de créer une instance de base de données et un groupe de sécurité, vous devez connaître les besoins en termes d'instances de base de données et de réseau. Voici quelques éléments importants à prendre en compte :

  • Exigences en matière de ressources– Quelles sont les exigences de votre application ou de votre service en termes de mémoire et de processeur ? Vous utilisez ces paramètres pour déterminer plus facilement la classe d'instance de base de données à utiliser. Pour obtenir les caractéristiques des classes des instances de bases de données, consultez Classes d’instance de base de données .

  • VPC, sous-réseau et groupe de sécurité– Votre instance de base de données se trouvera le plus probablement dans un cloud privé virtuel (VPC). Pour vous connecter à votre instance de base de données, vous devez configurer des règles de groupes de sécurité. Ces règles sont configurées différemment selon le type de VPC que vous utilisez et selon la manière dont vous l'utilisez. Par exemple, vous pouvez utiliser : un VPC par défaut ou un VPC défini par l'utilisateur.

    La liste suivante décrit les règles pour chaque option de VPC :

    • VPC par défaut – Si votre compte AWS possède un VPC par défaut dans la région AWS actuelle, ce VPC est configuré pour prendre en charge des instances de base de données. Si vous spécifiez le VPC par défaut lorsque vous créez l'instance de base de données, procédez comme suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l’application ou du service à l’instance de base de données Amazon RDS. Utilisez l’option Security Group (Groupe de sécurité) de la console VPC ou l’AWS CLI pour créer des groupes de sécurité VPC. Pour plus d’informations, consultez Étape 3 : créer un groupe de sécurité VPC.

      • Spécifiez le groupe de sous-réseaux DB par défaut. S'il s'agit de la première instance de base de données que vous avez créee dans cette région AWS, Amazon RDS créé le groupe de sous-réseau de base de données par défaut au moment de la création de l'instance de base de données.

    • VPC défini par l'utilisateur– Si vous souhaitez spécifier un VPC défini par l'utilisateur lorsque vous créez une instance de base de données, tenez compte de ce qui suit :

      • Assurez-vous de créer un groupe de sécurité VPC autorisant les connexions de l’application ou du service à l’instance de base de données Amazon RDS. Utilisez l’option Security Group (Groupe de sécurité) de la console VPC ou l’AWS CLI pour créer des groupes de sécurité VPC. Pour plus d’informations, consultez Étape 3 : créer un groupe de sécurité VPC.

      • Le VPC doit respecter certaines exigences afin d'héberger des instances de bases de données. Il doit notamment comporter au moins deux sous-réseaux, dans deux zones de disponibilités distinctes. Pour plus d’informations, consultez Amazon VPC et Amazon RDS.

      • Assurez-vous de spécifier un groupe de sous-réseaux DB définissant les sous-réseaux de ce VPC pouvant être utilisés par l'instance de base de données. Pour plus d'informations, consultez la section Groupe de sous-réseau DB de Utilisation d’une instance de base de données dans un VPC.

  • Haute disponibilité : avez-vous besoin de la prise en charge du basculement ? Sur Amazon RDS, un déploiement multi-AZ crée une instance de base de données principale et une instance de base de données de secours secondaire dans une autre zone de disponibilité pour la prise en charge du basculement. Nous recommandons les déploiements multi-AZ pour les charges de travail de production afin de maintenir une haute disponibilité. À des fins de développement et de test, vous pouvez utiliser un déploiement qui n'est pas multi-AZ. Pour plus d’informations, consultez Configuration et gestion d’un déploiement multi-AZ pour Amazon RDS.

  • Stratégies IAM : votre compte AWS dispose-t-il de stratégies accordant les autorisations nécessaires pour exécuter des opérations Amazon RDS ? Si vous vous connectez à AWS à l'aide d'informations d'identification IAM, votre compte IAM doit disposer de stratégies IAM qui accordent les autorisations requises pour exécuter les opérations Amazon RDS. Pour plus d’informations, consultez Identity and Access Management pour Amazon RDS.

  • Ports ouverts : sur quel port TCP/IP votre base de données écoute-t-elle ? Dans certaines entreprises, les pare-feu peuvent bloquer les connexions vers le port par défaut de votre moteur de base de données. Si le pare-feu de votre entreprise bloque le port par défaut, choisissez un autre port pour la nouvelle instance de base de données. Lorsque vous créez une instance de base de données qui écoute sur un port spécifié par vos soins, vous pouvez changer de port en modifiant l'instance de base de données.

  • Région AWS : dans quelle région AWS souhaitez-vous créer votre base de données ? La proximité entre votre base de données et votre application ou le service Web service permet de réduire la latence du réseau. Pour plus d’informations, consultez Régions, zones de disponibilité et zones locales.

  • Sous-système de disque de base de données : quels sont vos besoins en termes de stockage ? Amazon RDS propose trois types de stockages :

    • Usage général (SSD)

    • IOPS provisionnées (PIOPS)

    • Magnétique (également appelé stockage standard)

    Pour plus d'informations sur le stockage Amazon RDS, consultez Stockage d'instance de base de données Amazon RDS.

Lorsque vous disposez de toutes les informations nécessaires pour créer le groupe de sécurité et l'instance de base de données, passez à l'étape suivante.

Créer un groupe de sécurité qui autorise l'accès à votre instance de base de données dans votre VPC

Les groupes de sécurité VPC permettent l'accès aux instances de base de données dans un VPC. Ils font office de pare-feu pour l'instance de base de données associée, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance de base de données. Par défaut, les instances de base de données sont créées avec un pare-feu et un groupe de sécurité par défaut protégeant l'instance de base de données.

Avant de pouvoir vous connecter à votre instance de base de données, vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter. Utilisez vos informations réseau et de configuration pour créer les règles autorisant l'accès à votre instance de base de données.

Prenons l'exemple d'une application qui a accès à une base de données sur votre instance de base de données dans un VPC. Dans ce cas, vous devez ajouter une règle TCP personnalisée qui spécifie la plage de ports et les adresses IP utilisées par votre application pour accéder à la base de données. Si vous possédez une application sur une instance Amazon EC2, vous pouvez utiliser le groupe de sécurité qui est configuré pour l'instance Amazon EC2.

Vous pouvez configurer la connectivité entre une instance Amazon EC2 et une instance de base de données lorsque vous créez l'instance de base de données. Pour plus d’informations, consultez Configurer la connectivité réseau automatique avec une instance EC2.

Astuce

Vous pouvez configurer la connectivité réseau entre une instance Amazon EC2 et une instance de base de données automatiquement lorsque vous créez l’instance de base de données. Pour plus d’informations, consultez Configurer la connectivité réseau automatique avec une instance EC2.

Pour en savoir plus sur la façon de connecter des ressources Amazon Lightsail à vos instances de base de données, consultez Connecter des ressources Lightsail à Services AWS au moyen de l’appairage de VPC.

Pour plus d'informations sur les scénarios courants d'accès à une instance de base de données, consultez Scénarios d’accès à une instance de base de données d’un VPC.

Pour créer un groupe de sécurité VPC

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc.

    Note

    Assurez-vous que vous êtes dans la console VPC, et non dans la console RDS.

  2. Dans le coin supérieur droit de la AWS Management Console, sélectionnez la région AWS dans laquelle vous souhaitez créer votre groupe de sécurité de VPC et l'instance de base de données. Dans la liste des ressources Amazon VPC pour cette région AWS, vous devriez voir au moins un VPC et plusieurs sous-réseaux. Si ce n'est pas le cas, cela signifie que vous ne disposez pas de VPC par défaut dans cette région AWS.

  3. Dans le panneau de navigation, choisissez Groupes de sécurité.

  4. Sélectionnez Create security group (Créer un groupe de sécurité).

    La page Create security group (Créer un groupe de sécurité) s'affiche.

  5. DansBasic details (Détails de base), renseignez les champs Security group name (Nom du groupe de sécurité) et Description. Pour VPC, choisissez le VPC dans lequel vous souhaitez créer votre instance de base de données.

  6. Dans Inbound rules (Règles entrantes), choisissez Add rule (Ajouter une règle).

    1. Pour Type, choisissez Custom TCP (TCP personnalisé).

    2. Pour Port range (Plage de ports), saisissez le numéro du port à utiliser pour votre instance de base de données.

    3. Pour Source, choisissez un nom de groupe de sécurité ou tapez la plage d'adresses IP (valeur CIDR) à partir de laquelle vous accédez à l'instance de base de données. Si vous choisissez Mon IP, l'accès à l'instance de base de données est autorisé à partir de l'adresse IP détectée dans votre navigateur.

  7. Si vous devez ajouter d'autres adresses IP ou des plages de ports différentes, choisissez Add rule (Ajouter une règle) et saisissez les informations relatives à la règle.

  8. (Facultatif) Dans Outbound rules (Règles sortantes), ajoutez des règles pour le trafic sortant. Par défaut, tous les trafics sortant sont autorisés.

  9. Sélectionnez Create security group (Créer un groupe de sécurité).

Vous pouvez utiliser le groupe de sécurité VPC que vous venez de créer comme groupe de sécurité pour votre instance de base de données lors de sa création.

Note

Si vous utilisez un VPC par défaut, un groupe de sous-réseaux par défaut couvrant l'ensemble des sous-réseaux du VPC a déjà été créé pour vous. Lorsque vous créez une instance de base de données, vous pouvez sélectionner le VPC par défaut et utiliser par défaut en regard de DB Subnet Group (Groupe de sous-réseaux de base de données).

Une fois que vous avez terminé les exigences de configuration, vous pouvez créer une instance de base de données en utilisant votre configuration et votre groupe de sécurité. Pour ce faire, suivez les instructions dans Création d'une instance de base de données Amazon RDS. Pour plus d'informations sur le démarrage en créant une instance de base de données qui utilise un moteur de base de données spécifique, reportez-vous à la documentation pertinente dans le tableau suivant.

Note

Si vous ne parvenez pas à vous connecter à une instance de base de données après l’avoir créée, consultez les informations de dépannage dans Impossible de se connecter à l'instance de base de données Amazon RDS.