設定您的 Amazon Aurora 環境 - Amazon Aurora
註冊 AWS 帳戶建立具有管理存取權的使用者授與程式設計存取權判定需求提供對資料庫叢集的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定您的 Amazon Aurora 環境

首次使用 Amazon Aurora 之前,請先完成下列作業:

如果您已有 AWS 帳戶、了解您的 Aurora 需求,並偏好使用 IAM 和 VPC 安全群組的預設值,請跳到 Amazon Aurora 入門

註冊 AWS 帳戶

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。

註冊 AWS 帳戶

  1. 開啟 https://portal.aws.amazon.com/billing/signup

  2. 請遵循線上指示進行。

    註冊程序的一部分包括接聽電話或文字訊息,並在電話鍵盤上輸入驗證碼。

    當您註冊 時 AWS 帳戶,AWS 帳戶根使用者會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行需要根使用者存取權的任務

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 https://aws.amazon.com/ 並選擇我的帳戶,以檢視您目前的帳戶活動並管理帳戶。

建立具有管理存取權的使用者

註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。

保護您的 AWS 帳戶根使用者

  1. 選擇根使用者並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者AWS Management Console身分登入 。在下一頁中,輸入您的密碼。

    如需使用根使用者登入的說明,請參閱 AWS 登入 使用者指南中的以根使用者身分登入

  2. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

    如需說明,請參閱《IAM 使用者指南》中的為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置

建立具有管理存取權的使用者

  1. 啟用 IAM Identity Center。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的啟用 AWS IAM Identity Center

  2. 在 IAM Identity Center 中,將管理存取權授予使用者。

    如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱AWS IAM Identity Center 《 使用者指南》中的使用預設值設定使用者存取 IAM Identity Center 目錄

以具有管理存取權的使用者身分登入

  • 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

    如需使用 IAM Identity Center 使用者登入的說明,請參閱AWS 登入 《 使用者指南》中的登入 AWS 存取入口網站

指派存取權給其他使用者

  1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集

  2. 將使用者指派至群組,然後對該群組指派單一登入存取權。

    如需指示,請參閱《AWS IAM Identity Center 使用者指南》中的新增群組

授與程式設計存取權

如果使用者想要與 AWS 外部互動,則需要程式設計存取 AWS Management Console。授予程式設計存取權的方式取決於正在存取的使用者類型 AWS。

若要授與使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? 根據

人力資源身分

(IAM Identity Center 中管理的使用者)

 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs

請依照您要使用的介面所提供的指示操作。
IAM 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs 遵循《IAM 使用者指南》中將臨時登入資料與 AWS 資源搭配使用的指示。
IAM

(不建議使用)

使用長期憑證簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs

請依照您要使用的介面所提供的指示操作。

判定需求

Aurora 的基本建置區塊為資料庫叢集。資料庫叢集可以有一或多個資料庫執行個體。資料庫叢集提供一個網路地址,稱為叢集端點。每當您的應用程式需要存取資料庫叢集中建立的資料庫時,就會連線到該資料庫叢集公開的叢集端點。您建立資料庫叢集時所指定的資訊控制了組態元素,像是記憶體、資料庫引擎和版本、網路組態、安全性、維護期間。

在建立資料庫叢集和安全群組之前,您必須知道您的資料庫叢集和網路需求。這裡是一些要考慮的注意事項:

  • 資源需求 ​– 您的應用程式或服務的記憶體和處理器需求為何? 當您建立資料庫叢集時,將使用這些設定來判定要使用的資料庫執行個體類別。如需關於資料庫執行個體類別的規格,請參閱 Amazon Aurora 資料庫執行個體類別

  • VPC、子網路和安全群組 – 您的資料庫叢集將位於 Virtual Private Cloud (VPC) 中。您必須設定安全群組規則,才能連線至資料庫叢集。下列清單說明每個 VPC 選項的規則:

    • 預設 VPC — 如果 AWS 您的帳戶在 AWS 區域中具有預設 VPC,則該 VPC 會設定為支援資料庫叢集。如果您在建立資料庫叢集時指定預設 VPC:

      • 確認建立 VPC 安全群組,授權從應用程式或服務到 Aurora 資料庫叢集的連線。使用 VPC 主控台上的安全群組選項或 AWS CLI 來建立 VPC 安全群組。如需相關資訊,請參閱步驟 3:建立 VPC 安全群組

      • 您必須指定預設的資料庫子網路群組。如果這是您在 AWS 區域中建立的第一個資料庫叢集,Amazon RDS 會在建立資料庫叢集時建立預設資料庫子網路群組。

    • 使用者定義的 VPC— 如果您要在建立資料庫叢集時指定使用者定義的 VPC:

      • 確認建立 VPC 安全群組,授權從應用程式或服務到 Aurora 資料庫叢集的連線。使用 VPC 主控台上的安全群組選項或 AWS CLI 來建立 VPC 安全群組。如需相關資訊,請參閱步驟 3:建立 VPC 安全群組

      • VPC 必須符合某些需求才能主控資料庫叢集,例如具有至少兩個子網路,各位在不同的可用區域中。如需相關資訊,請參閱「Amazon VPC 和 極光」。

      • 您必須指定資料庫子網路群組,該群組定義在該 VPC 中可由資料庫叢集使用的子網路。如需詳細資訊,請參閱在 VPC 中使用資料庫叢集中的資料庫子網路群組小節。

  • 高可用性:您需要容錯移轉支援嗎? 在 Aurora 上,異地同步備份部署會建立主要執行個體和 Aurora 複本。您可以將主要執行個體和 Aurora 複本設定為位於不同的可用區域,以便支援容錯移轉。建議對生產工作負載使用異地同步備份部署以保有高可用性。若為了開發和測試目的,您可以使用非異地同步備份的部署。如需詳細資訊,請參閱Amazon Aurora 的高可用性

  • IAM 政策: AWS 您的帳戶是否有授予執行 Amazon RDS 操作所需許可的政策? 如果您 AWS 使用 IAM 登入資料連線至 ,您的 IAM 帳戶必須具有授予執行 Amazon RDS 操作所需許可的 IAM 政策。如需詳細資訊,請參閱Amazon Aurora 的身分和存取管理

  • 開放連接埠:您的資料庫會在哪個 TCP/IP 上偵聽? 某些公司的防火牆可能會封鎖與您的資料庫引擎預設連接埠的連線。如果您的公司防火牆會封鎖預設連接埠,請為新的資料庫叢集選擇另一個連接埠。請注意,建立在指定連接埠上接聽的資料庫叢集後,可以透過修改資料庫叢集來變更連接埠。

  • AWS 區域:您希望資料庫位於哪個 AWS 區域? 將資料庫放在鄰近應用程式或 Web 服務的位置可以減少網路延遲。如需更多詳細資訊,請參閱 區域和可用區域

備妥建立安全群組和資料庫叢集所需的資訊後,請繼續進行下一個步驟。

建立安全群組以存取 VPC 中的資料庫叢集

您的資料庫叢集群將會建立在 VPC 中。安全群組提供 VPC 中資料庫叢集的存取權。其作用就像相關聯資料庫叢集的防火牆,從叢集層級控制傳入和傳出流量。資料庫叢集建立時預設提供防火牆以及可避免資料庫叢集遭到存取的預設安全群組。因此您必須將規則新增至安全群組,讓您能連線到資料庫叢集。使用您在先前步驟中判斷的網路和組態資訊,來建立允許存取資料庫叢集的規則。

例如,假設您有一個應用程式會存取 VPC 中資料庫叢集上的資料庫,則您必須新增自訂 TCP 規則,指定應用程式用來存取該資料庫的連接埠範圍和 IP 地址。如果您的應用程式在 Amazon EC2 執行個體上,則可以使用您為 Amazon EC2 執行個體設定的 VPC 安全群組。

您可以在建立資料庫叢集時,將與 Amazon EC2 執行個體之間的連線設定為資料庫叢集。如需詳細資訊,請參閱設定與 EC2 執行個體的自動網路連線

提示

您可以在建立資料庫叢集時自動設定 Amazon EC2 執行個體和資料庫叢集之間的網路連線。如需詳細資訊,請參閱設定與 EC2 執行個體的自動網路連線

如需有關如何將 中的資源連接到資料庫叢集的資訊,請參閱AWS 服務 使用 VPC 對等互連將Lightsail資源連接到 Amazon Lightsail 。

如需建立 VPC 來搭配 Aurora 使用的更多資訊,請參閱教學課程:建立要與資料庫叢集搭配使用的 VPC (僅限 IPv4)。如需存取資料庫執行個體常見案例的相關資訊,請參閱存取 中資料庫叢集的案例 VPC

建立 VPC 安全群組

  1. 登入 AWS Management Console 並開啟位於 https://https://console.aws.amazon.com/vpc 的 Amazon VPC 主控台。

    注意

    請確認您位於 VPC 主控台中,而不是 RDS 主控台。

  2. 在 的右上角 AWS Management Console,選擇您要建立 VPC 安全群組和資料庫叢集 AWS 的區域。在 AWS 區域的 Amazon VPC 資源清單中,您應該會看到至少一個 VPC 和數個子網路。如果沒有,表示在該 AWS 區域中沒有預設 VPC。

  3. 在導覽窗格中,選擇 Security Groups (安全群組)。

  4. 選擇 Create Security Group (建立安全群組)。

    隨即會顯示 Create security group (建立安全群組) 頁面。

  5. Basic details (基本詳細資訊) 中,分別在 Security group name (安全群組名稱)Description (描述) 中輸入相應內容。對於 VPC,選擇要建立資料庫叢集所在的 VPC。

  6. Inbound rules (入站規則) 中,選擇 Add rule (新增規則)

    1. 針對 Type (類型),請選擇 Custom TCP (自訂 TCP)

    2. Port range (連接埠範圍) 中,輸入要用於資料庫叢集的連接埠值。

    3. 針對 Source (來源),選擇要從中存取資料庫叢集的安全群組名稱或輸入 IP 地址範圍 (CIDR 值)。如果選擇 My IP (我的 IP),此舉允許透過您的瀏覽器中偵測到的 IP 地址存取資料庫叢集。

  7. 如果需要新增更多 IP 地址或不同的連接埠範圍,請選擇 Add rule (新增規則) 並輸入規則的資訊。

  8. (選用) 在 Outbound Rules (輸出規則) 中,新增輸出流量的規則。預設會允許所有傳出流量。

  9. 選擇建立安全群組

建立資料庫叢集時,您可以使用剛才建立的 VPC 安全群組作為資料庫叢集的安全群組。

注意

如果您使用預設 VPC,系統會為您建立橫跨所有 VPC 子網路的預設子網路群組。建立資料庫叢集時,您可以選取預設的 VPC,並使用 DB Subnet Group (資料庫子網路群組)default (預設)

完成設定需求後,您可以依照 建立 Amazon Aurora 資料庫叢集 中的指示,使用您的需求和安全群組建立資料庫叢集。如需建立使用特定資料庫引擎之資料庫叢集的相關資訊,請參閱Amazon Aurora 入門