本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定您的 Amazon RDS 環境
<a name="CHAP_SettingUp"></a>

此頁面提供設定 Amazon Relational Database Service 的完整指南，包括帳戶組態、安全性和資源管理。它會逐步引導您有效建立、管理和保護資料庫環境的基本步驟。無論您是初次使用 Amazon RDS 還是針對特定要求進行設定，這些區段都有助於確保您的設定已最佳化並符合最佳實務。

**Topics**
+ [註冊 AWS 帳戶](#sign-up-for-aws)
+ [建立具有管理存取權的使用者](#create-an-admin)
+ [授與程式設計存取權](#getting-started-iam-user-access-keys)
+ [判定需求](#CHAP_SettingUp.Requirements)
+ [建立安全群組以存取在您的 VPC 中您的資料庫執行個體](#CHAP_SettingUp.SecurityGroup)

如果您已有 AWS 帳戶，請了解您的 Amazon RDS 需求，並偏好使用 IAM 和 VPC 安全群組的預設值，請跳到 [Amazon RDS 入門](CHAP_GettingStarted.md)。

## 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

如果您沒有 AWS 帳戶，請完成下列步驟來建立一個。

**註冊 AWS 帳戶**

1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。

1. 請遵循線上指示進行。

   部分註冊程序需接收來電或簡訊，並在電話鍵盤輸入驗證碼。

   當您註冊 時 AWS 帳戶，*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務，請將管理存取權指派給使用者，並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。

AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**，以檢視您目前的帳戶活動並管理帳戶。

## 建立具有管理存取權的使用者
<a name="create-an-admin"></a>

註冊 後 AWS 帳戶，請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者，以免將根使用者用於日常任務。

**保護您的 AWS 帳戶根使用者**

1.  選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中，輸入您的密碼。

   如需使用根使用者登入的說明，請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。

1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。

   如需說明，請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 （主控台） 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。

**建立具有管理存取權的使用者**

1. 啟用 IAM Identity Center。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。

1. 在 IAM Identity Center 中，將管理存取權授予使用者。

   如需使用 IAM Identity Center 目錄 做為身分來源的教學課程，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。

**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署，請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。

  如需使用 IAM Identity Center 使用者登入的說明，請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。

**指派存取權給其他使用者**

1. 在 IAM Identity Center 中，建立一個許可集來遵循套用最低權限的最佳實務。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。

1. 將使用者指派至群組，然後對該群組指派單一登入存取權。

   如需指示，請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。

## 授與程式設計存取權
<a name="getting-started-iam-user-access-keys"></a>

如果使用者想要與 AWS 外部互動，則需要程式設計存取 AWS 管理主控台。授予程式設計存取權的方式取決於正在存取的使用者類型 AWS。

若要授予使用者程式設計存取權，請選擇下列其中一個選項。


****  

| 哪個使用者需要程式設計存取權？ | 到 | 根據 | 
| --- | --- | --- | 
| IAM | （建議） 使用主控台登入資料做為臨時登入資料，以簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/CHAP_SettingUp.html) | 
| 人力資源身分<br />(IAM Identity Center 中管理的使用者) | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 請依照您要使用的介面所提供的指示操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/CHAP_SettingUp.html) | 
| IAM | 使用暫時登入資料簽署對 AWS CLI、 AWS SDKs程式設計請求。 AWS APIs | 遵循《IAM 使用者指南》中[將臨時登入資料與 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)搭配使用的指示。 | 
| IAM | (不建議使用)使用長期登入資料來簽署對 AWS CLI、 AWS SDKs 或 AWS APIs程式設計請求。 | 請依照您要使用的介面所提供的指示操作。[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonRDS/latest/UserGuide/CHAP_SettingUp.html) | 

## 判定需求
<a name="CHAP_SettingUp.Requirements"></a>

Amazon RDS 的基本建置組塊為資料庫執行個體。您可以在資料庫執行個體中建立您的資料庫。資料庫執行個體提供的網路位址稱為*端點*。您的應用程式使用此端點來連接至您的資料庫執行個體。建立資料庫執行個體時，您可以指定儲存體、記憶體、資料庫引擎和版本、網路組態、安全和維護期間等詳細資訊。您可以透過安全群組來控制對資料庫執行個體的網路存取。

建立資料庫執行個體和安全群組之前，您必須知道您的資料庫執行個體和網路需求。這裡是一些要考慮的注意事項：
+ **資源需求** ​– 您的應用程式或服務的記憶體和處理器需求為何？ 您可以使用這些設定來幫助判定要使用的資料庫執行個體類別。如需關於資料庫執行個體類別的規格，請參閱 [ 資料庫執行個體類別](Concepts.DBInstanceClass.md)。
+ **VPC、子網路和安全群組 – **您的資料庫執行個體最可能處於 Virtual Private Cloud (VPC) 中。若要連接至您的資料庫執行個體，您必須設定安全群組規則。這些規則的設定方式因您使用的 VPC 的種類以及您使用它的方式而有所不同。例如，您可以使用預設 VPC 或使用者定義的 VPC。

  下列清單說明每個 VPC 選項的規則：
  + **預設 VPC** – 如果 AWS 您的帳戶在目前 AWS 區域中具有預設 VPC，則該 VPC 會設定為支援資料庫執行個體。如果您在建立資料庫執行個體時指定預設的 VPC，請執行下列動作：
    + 確認建立 *VPC 安全群組*，授權從應用程式或服務到 Amazon RDS 資料庫執行個體的連線。使用 VPC 主控台上的**安全群組**選項或 AWS CLI 來建立 VPC 安全群組。如需相關資訊，請參閱[步驟 3：建立 VPC 安全群組](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.CreateVPCSecurityGroup)。
    + 指定預設的資料庫子網路群組。如果這是您在此 AWS 區域中建立的第一個資料庫執行個體，Amazon RDS 會在建立資料庫執行個體時建立預設資料庫子網路群組。
  + **使用者定義的 VPC** – 如果您要在建立資料庫執行個體時指定使用者定義的 VPC，請注意下列事項：
    + 確認建立 *VPC 安全群組*，授權從應用程式或服務到 Amazon RDS 資料庫執行個體的連線。使用 VPC 主控台上的**安全群組**選項或 AWS CLI 來建立 VPC 安全群組。如需相關資訊，請參閱[步驟 3：建立 VPC 安全群組](USER_VPC.WorkingWithRDSInstanceinaVPC.md#USER_VPC.CreateVPCSecurityGroup)。
    + VPC 必須符合某些需求才能主控資料庫執行個體，例如具有至少兩個子網路，每個位在個別的可用區域中。如需相關資訊，請參閱「[Amazon VPC 和 Amazon RDS](USER_VPC.md)」。
    + 務必指定 DB 子網路群組，該群組定義在該 VPC 中可由資料庫叢集使用的子網路。如需詳細資訊，請參閱[在 VPC 中使用資料庫執行個體](USER_VPC.WorkingWithRDSInstanceinaVPC.md#Overview.RDSVPC.Create)中的資料庫子網路群組小節。
+ **高可用性** – 您需要容錯移轉支援嗎？ 在 Amazon RDS 上，異地同步備份部署會建立主要資料庫執行個體，並在另一個可用區域中建立次要待命資料庫執行個體以進行容錯移轉支援。建議對生產工作負載使用異地同步備份部署以保有高可用性。針對開發和測試目的，您可以使用異地同步備份以外的部署。如需詳細資訊，請參閱[設定及管理 Amazon RDS 的多可用區域部署](Concepts.MultiAZ.md)。
+ **IAM 政策 **– AWS 您的帳戶是否有授予執行 Amazon RDS 操作所需許可的政策？ 如果您 AWS 使用 IAM 登入資料連線至 ，您的 IAM 帳戶必須具有授予執行 Amazon RDS 操作所需許可的 IAM 政策。如需詳細資訊，請參閱[Amazon RDS 的 Identity and access management](UsingWithRDS.IAM.md)。
+ **開放連接埠** – 您的資料庫接聽所在的 TCP/IP 連接埠為何？ 某些公司的防火牆可能會封鎖與您的資料庫引擎預設連接埠的連線。如果您的公司防火牆會封鎖預設連接埠，請為新的資料庫執行個體選擇另一個連接埠。建立在您指定的連接埠上接聽的資料庫執行個體時，您可以透過修改資料庫執行個體來變更連接埠。
+ **AWS 區域 **– 您希望資料庫位於哪個 AWS 區域？ 將您的資料庫放置在鄰近您的應用程式或 Web 服務的位置可以減少網路延遲。如需詳細資訊，請參閱[區域、可用區域和 Local Zones](Concepts.RegionsAndAvailabilityZones.md)。
+ **資料庫磁碟子系統** – 您的儲存體有何要求？ Amazon RDS 提供了三種儲存類型：
  + 一般用途 (SSD)
  + 佈建的 IOPS (PIOPS)
  + 磁帶 (也稱為標準儲存裝置)

  如需 Amazon RDS 儲存體的詳細資訊，請參閱 [Amazon RDS 資料庫執行個體儲存體](CHAP_Storage.md)。

具備建立安全群組和資料庫執行個體所需的資訊時，請繼續進行下一個步驟。

## 建立安全群組以存取在您的 VPC 中您的資料庫執行個體
<a name="CHAP_SettingUp.SecurityGroup"></a>

VPC 安全群組提供 VPC 中資料庫執行個體的存取權。其作用就像相關資料庫執行個體的防火牆，從資料庫執行個體層級控制傳入和傳出流量。資料庫執行個體建立時預設提供防火牆和可保護資料庫執行個體的預設安全群組。

您必須先新增規則至可讓您連線的安全群組，才可連線到資料庫執行個體。使用您的網路和組態資訊來建立規則以允許存取您的資料庫執行個體。

例如，假設您有一個應用程式會存取 VPC 中您的資料庫執行個體上的資料庫。在此情況下，您必須新增自訂 TCP 規則，指定您的應用程式用來存取資料庫的連接埠範圍和 IP 地址。如果您的應用程式在 Amazon EC2 執行個體上，則可以使用您為 Amazon EC2 執行個體設定安全群組。

您在建立資料庫執行個體時，可以將 Amazon EC2 執行個體之間的連線設定為資料庫執行個體。如需詳細資訊，請參閱[設定與 EC2 執行個體的自動網路連線](USER_CreateDBInstance.md#USER_CreateDBInstance.Prerequisites.VPC.Automatic)。

**提示**  
您在建立資料庫執行個體時，可以自動設定 Amazon EC2 執行個體和資料庫執行個體之間的網路連線。如需詳細資訊，請參閱[設定與 EC2 執行個體的自動網路連線](USER_CreateDBInstance.md#USER_CreateDBInstance.Prerequisites.VPC.Automatic)。

如需有關如何將 中的資源連接到資料庫執行個體的資訊，請參閱[AWS 服務 使用 VPC 對等互連將Lightsail資源連接到](https://docs.aws.amazon.com/lightsail/latest/userguide/using-lightsail-with-other-aws-services.html) Amazon Lightsail 。

如需存取資料庫執行個體常見案例的相關資訊，請參閱[在 VPC 中存取資料庫執行個體的案例](USER_VPC.Scenarios.md)。

**建立 VPC 安全群組**

1. 登入 AWS 管理主控台 ，並在 [https://console.aws.amazon.com/vpc](https://console.aws.amazon.com/vpc)：// 開啟 Amazon VPC 主控台。
**注意**  
請確認您位於 VPC 主控台中，而不是 RDS 主控台。

1. 在 的右上角 AWS 管理主控台，選擇您要建立 VPC 安全群組和資料庫執行個體 AWS 的區域。在 AWS 區域的 Amazon VPC 資源清單中，您應該會看到至少一個 VPC 和數個子網路。如果沒有，表示在該 AWS 區域中沒有預設 VPC。

1. 在導覽窗格中，選擇 **Security Groups** (安全群組)。

1. 選擇 **Create Security Group** (建立安全群組)。

   隨即會顯示 **Create security group (建立安全群組)** 頁面。

1. 在 ** Basic details (基本詳細資訊)** 中，分別在 ** Security group name (安全群組名稱)** 和 **Description (描述)** 中輸入相應內容。針對 **VPC**，選擇您要建立您的資料庫執行個體所在的 VPC。

1. 在 **Inbound rules (入站規則)** 中，選擇 **Add rule (新增規則)**。

   1. 針對 **Type (類型)**，請選擇 **Custom TCP (自訂 TCP)**。

   1. 針對 **Port Range (連接埠範圍)**，輸入要用於資料庫執行個體的連接埠值。

   1. 針對 **Source (來源)**，選擇要從中存取資料庫執行個體的安全群組名稱或輸入 IP 地址範圍 (CIDR 值)。如果您選擇 **My IP (我的 IP)**，此舉允許透過您的瀏覽器中偵測到的 IP 地址存取資料庫執行個體。

1. 如果需要新增更多 IP 地址或不同的連接埠範圍，請選擇 **Add rule (新增規則)** 並輸入規則的資訊。

1. (選用) 在 **Outbound Rules (輸出規則) ** 中，新增輸出流量的規則。預設會允許所有傳出流量。

1. 選擇**建立安全群組**。

您可以使用剛建立的 VPC 安全群組，做為所建立之資料庫執行個體的安全群組。

**注意**  
如果您使用預設 VPC，系統會為您建立橫跨所有 VPC 子網路的預設子網路群組。建立資料庫執行個體時，您可以選取預設的 VPC，並在 **DB Subnet Group (資料庫子網路群組)** 使用 **default (預設)**。

在完成了設定需求之後，您可以使用您的需求和安全群組建立資料庫執行個體。若要執行此操作，請遵循 [建立 Amazon RDS 資料庫執行個體](USER_CreateDBInstance.md) 中的指示。如需建立使用特定資料庫引擎的資料庫執行個體之相關資訊，請參閱下方表單中的相關文件。


****  

| 資料庫引擎 | 文件 | 
| --- | --- | 
| MariaDB | [建立並連線至 MariaDB 資料庫執行個體](CHAP_GettingStarted.CreatingConnecting.MariaDB.md) | 
| Microsoft SQL Server | [建立並連線至 Microsoft SQL Server 資料庫執行個體](CHAP_GettingStarted.CreatingConnecting.SQLServer.md) | 
| MySQL | [建立並連線至 MySQL 資料庫執行個體](CHAP_GettingStarted.CreatingConnecting.MySQL.md) | 
| Oracle | [建立並連線至 Oracle 資料庫執行個體](CHAP_GettingStarted.CreatingConnecting.Oracle.md) | 
| PostgreSQL | [建立並連線至 PostgreSQL 資料庫執行個體](CHAP_GettingStarted.CreatingConnecting.PostgreSQL.md) | 

**注意**  
如果您在建立資料庫執行個體之後，無法連線到該執行個體，請參閱 [無法連線至 Amazon RDS 資料庫執行個體](CHAP_Troubleshooting.md#CHAP_Troubleshooting.Connecting) 中的疑難排解資訊。