はじめに

「EC2にMariaDBをインストールしてDBサーバを自分で管理するのは大変……」——その悩みを解決するのが Amazon RDS（マネージド型データベースサービス） です。

この記事では、AWSコンソール（GUI）のみを使って、RDS MySQL 8.0インスタンスとEC2（APサーバ）をゼロから構築し、EC2からRDSへMySQL接続を確認するハンズオンを紹介します。

インターネット
  ↓ HTTP(80) / SSH(22)  ← 自分のIPのみ
インターネットゲートウェイ（my-rds-igw）
  ↓
[VPC: 10.0.0.0/16]
  ├── パブリックサブネット（10.0.1.0/24）[AZ-a]
  │     └── EC2 APサーバ（Apache + mariadb client）
  │           └── IAMロール → SSM Parameter Store からパスワード取得
  │                     ↓ MySQL:3306（SG-to-SG制御）
  ├── DBサブネットグループ
  │     ├── プライベートサブネット1（10.0.2.0/24）[AZ-a]  ← RDS配置
  │     │     └── RDS MySQL 8.0（db.t3.micro）
  │     └── プライベートサブネット2（10.0.3.0/24）[AZ-c]  ← 2AZ要件用
  └── SSM Parameter Store: /my/rds/db-password

このハンズオンで体験できること：

• EC2にDBをインストールする方式との違いを体感
• RDS DBサブネットグループが「2AZ以上必須」な理由を理解
• SSM Parameter Storeでパスワードをコードに書かずに安全に管理する方法
• SG-to-SG制御でRDSをEC2からのみ許可する設計

このハンズオンのポイント：

前フェーズ（EC2 + MariaDB）では自分でDBを管理していましたが、今回はAWSがOSのメンテナンス・パッチ・バックアップを自動管理するRDSに置き換えます。ネットワーク設計はカスタムVPC（3サブネット）で実際の本番環境に近い構成になります。

この記事は CloudFormation版ハンズオン の比較記事です。
コンソール操作でRDS・DBサブネットグループ・Parameter Storeを視覚的に学びたい方向けです。

-->

キーワード解説

前フェーズとの違い

使用するAWSサービス

注意: RDSを稼働させたままにすると課金されます。ハンズオン後は必ず削除してください。

構築するリソース一覧

全体の作業順序

⓪ IPアドレス確認
      ↓
① キーペア作成
      ↓
② VPC作成
      ↓
③ サブネット作成（パブリック1 + プライベート2）
      ↓
④ インターネットゲートウェイ作成・アタッチ
      ↓
⑤ ルートテーブル設定
      ↓
⑥ セキュリティグループ作成（EC2用 → RDS用）
      ↓
⑦ IAMロール作成
      ↓
⑧ SSM Parameter Store にパスワードを登録
      ↓
⑨ RDS DBサブネットグループ作成
      ↓
⑩ RDS MySQL インスタンス作成（※約10〜15分かかる）
      ↓
⑪ EC2インスタンス起動
      ↓
⑫ 動作確認（EC2 → RDS接続）
      ↓
⑬ リソース削除

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

またはブラウザで https://checkip.amazonaws.com にアクセスして確認します。

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

セキュリティグループで 203.0.113.1/32 の形式（末尾に /32）で使用します。

① キーペアの作成

AWSコンソール → EC2 → ネットワーク＆セキュリティ → キーペア → 「キーペアを作成」

「キーペアを作成」をクリックすると my-rds-mysql-key.pem がダウンロードされます。

C:\Users\ユーザー名\.ssh\my-rds-mysql-key.pem

② VPCの作成

AWSコンソール → VPC → お使いのVPC → 「VPCを作成」

「VPCを作成」をクリック。

VPCとは: AWS内に作る仮想的なプライベートネットワーク。10.0.0.0/16 は「10.0.0.0〜10.0.255.255」の65,536個のIPアドレスを使える範囲です。

③ サブネットの作成（3つ）

AWSコンソール → VPC → サブネット → 「サブネットを作成」

「VPC ID」に my-rds-vpc を選択してから、以下の3つを作成します。

「新しいサブネットを追加」ボタンで複数まとめて作成できます。

サブネット1: パブリックサブネット（EC2用）

サブネット2: プライベートサブネット1（RDS配置先）

サブネット3: プライベートサブネット2（DBサブネットグループ用）

なぜプライベートサブネットが2つ必要か: RDS DBサブネットグループは「2つ以上の異なるAZ」にあるサブネットを登録する必要があります。RDSインスタンス自体はAZ-aの private-subnet-1 に置きますが、グループ定義にはAZ-cの private-subnet-2 も必要です。これはRDSのMulti-AZフェイルオーバーに備えた仕様です。

「サブネットを作成」をクリック。

④ インターネットゲートウェイの作成・アタッチ

作成

AWSコンソール → VPC → インターネットゲートウェイ → 「インターネットゲートウェイを作成」

「インターネットゲートウェイを作成」をクリック。

VPCへのアタッチ

作成したIGWを選択 → 「アクション」→「VPCにアタッチ」→ my-rds-vpc を選択 → 「インターネットゲートウェイのアタッチ」

ステータスが 「Attached」 になることを確認します。

⑤ ルートテーブルの設定

5-1. パブリック用ルートテーブルの作成

AWSコンソール → VPC → ルートテーブル → 「ルートテーブルを作成」

作成後、my-public-rt を選択 → 「ルート」タブ → 「ルートを編集」→「ルートを追加」

「変更を保存」をクリック。

次に「サブネットの関連付け」タブ → 「サブネットの関連付けを編集」→ my-public-subnet にチェック → 「関連付けを保存」

5-2. プライベート用ルートテーブルの作成

同様に「ルートテーブルを作成」

「サブネットの関連付けを編集」→ my-private-subnet-1 と my-private-subnet-2 の両方にチェック → 「関連付けを保存」

プライベートルートテーブルにはインターネットへのルートを追加しません。RDSはインターネットに出る必要がないため、VPC内のローカル通信のみで十分です。

⑥ セキュリティグループの作成

6-1. EC2用セキュリティグループ

AWSコンソール → EC2 → セキュリティグループ → 「セキュリティグループを作成」

インバウンドルール:

アウトバウンドルール:

「セキュリティグループを作成」をクリック。

6-2. RDS用セキュリティグループ

同様に「セキュリティグループを作成」

インバウンドルール:

ポイント（SG-to-SG制御）: ソースにIPアドレスではなくセキュリティグループを指定します。my-rds-ec2-sg に所属するEC2インスタンスからの通信のみ許可でき、インターネットからのアクセスを完全に遮断できます。

「セキュリティグループを作成」をクリック。

⑦ IAMロールの作成

AWSコンソール → IAM → ロール → 「ロールを作成」

ステップ1

ステップ2: ポリシーのアタッチ

以下の2つを検索してチェックを入れます。

ステップ3

タグを追加: Cost = 123456

「ロールを作成」をクリック。

⑧ SSM Parameter Store にDBパスワードを登録する

Parameter Storeは、DBパスワードなどの設定値をコードに書かずに安全に管理するサービスです。EC2上のアプリケーションは実行時にParameter Storeから値を取得して使用します。

AWSコンソール → Systems Manager → パラメータストア → 「パラメータの作成」

「パラメータの作成」をクリック。

SecureStringとは: KMSで暗号化して保管するタイプです。通常の String と違い、値を取得する際に適切なIAM権限が必要です。パスワードやAPIキーなどの機密情報はSecureStringを使いましょう。

⑨ RDS DBサブネットグループの作成

AWSコンソール → Aurora and RDS → サブネットグループ → 「DBサブネットグループを作成」

サブネットの追加:

「作成」をクリック。

DBサブネットグループとは: RDSインスタンスを配置できるサブネットを登録した論理グループです。RDSはこのグループ内のサブネットにインスタンスを配置します。最低2つの異なるAZのサブネットが必要な理由は、RDSがMulti-AZフェイルオーバーに対応するための仕様です。

⑩ RDS MySQL インスタンスの作成

AWSコンソール → Aurora and RDS → データベース → 「データベースの作成 ▲」→「フル設定」

UIの変更について（2025年以降）: サービス名が 「RDS」→「Aurora and RDS」 に変更されました。「データベースの作成」ボタンはドロップダウン式になっており、以下の3つが表示されます。

選択肢	用途
エクスプレス設定	簡易設定（詳細設定不可）
フル設定	← これを選ぶ（VPC・SGなどを細かく指定できる）
S3から復元	バックアップからの復元

VPC・サブネットグループ・SGなどを細かく指定するため、必ず「フル設定」を選択します。

注意: RDSの作成は約10〜15分かかります。

エンジンの選択

テンプレート

「無料利用枠」を選択すると、スペックが自動的に無料枠対象の設定に制限されます。

設定

インスタンスの設定

ストレージ

接続

追加設定

「追加設定」を開きます。

自動バックアップを無効にすることで、ハンズオン後の削除がよりスムーズになります。

「データベースの作成」をクリック。

控えておく情報: 作成完了後に表示される「エンドポイント」のホスト名

my-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com

エンドポイントとは: RDSに接続するためのホスト名です。IPアドレスが変わっても同じホスト名で接続できます。

⑪ EC2インスタンスの起動

注意: EC2を起動する前に⑤のルートテーブル設定（IGWルートの追加とサブネット関連付け）が完了していることを確認してください。UserDataはEC2起動時に一度だけ実行されるため、IGWルートがない状態で起動すると dnf install がインターネットに到達できずApacheのインストールが失敗します。

AWSコンソール → EC2 → インスタンス → 「インスタンスを起動」

基本設定

ネットワーク設定

「編集」をクリックして以下を設定します。

IAMロール

「高度な詳細」→「IAMインスタンスプロファイル」→ my-rds-ec2-role を選択

UserData

「高度な詳細」→「ユーザーデータ」に以下を貼り付けます。

#!/bin/bash
dnf update -y
dnf install -y httpd mariadb105
systemctl start httpd
systemctl enable httpd
echo "<h1>AP Server - RDS MySQL Hands-on</h1>" > /var/www/html/index.html
echo "<p>This server connects to RDS MySQL in the private subnet.</p>" >> /var/www/html/index.html

タグ

「インスタンスを起動」をクリック。起動完了まで約2〜3分待ちます。

控えておく情報: インスタンスのパブリックIPアドレス

⑫ 動作確認

12-1. WebブラウザでEC2のWebサーバ確認

ブラウザで以下のURLにアクセスします。

http://（EC2のパブリックIPアドレス）

「AP Server - RDS MySQL Hands-on」と表示されればEC2は正常に動作しています。

接続できない場合のチェックポイント:

1. EC2起動後2〜3分以上待ってから再試行（UserDataの実行に時間がかかります）
2. https://checkip.amazonaws.com で現在のIPを確認し、EC2のSGのHTTP許可IPと一致しているか確認
3. SSHでEC2に入り sudo systemctl status httpd でApacheの状態を確認

12-2. EC2にSSH接続する

ssh -i C:\Users\ユーザー名\.ssh\my-rds-mysql-key.pem ec2-user@（EC2のパブリックIPアドレス）

12-3. Parameter StoreからDBパスワードを取得する

EC2にSSH接続した状態で以下を実行します。

aws ssm get-parameter \
  --name "/my/rds/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1 \
  --with-decryption

Handson1234! と表示されればParameter Storeからの取得成功です。

--with-decryption について: SecureString型のパラメータを取得するときに必要なフラグです。このフラグがないと暗号化されたまま（base64のような長い文字列）返ってきます。

これがParameter Storeの活用方法：パスワードをコードに書かず、実行時にIAMロール経由で取得します。

12-4. RDSへのMySQL接続テスト

⑩で控えておいたRDSエンドポイントを使って接続します。

RDS_ENDPOINT="my-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"

# DBパスワードをParameter Storeから取得
DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/rds/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1 \
  --with-decryption)

# RDSに接続
mysql -h $RDS_ENDPOINT -u admin -p"$DB_PASSWORD" sampledb

接続に成功するとMySQLのプロンプトが表示されます。

Welcome to the MariaDB monitor.  Commands end with ; or \g.
...
MySQL [sampledb]>

12-5. RDS上でSQL操作を確認する

-- テーブル作成
CREATE TABLE users (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(50),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO users (name) VALUES ('Alice'), ('Bob');

-- データ確認
SELECT * FROM users;

-- 後片付け
DROP TABLE users;

EXIT;

12-6. EC2からSSH接続を切断する

exit

⑬ リソースの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

RDSの課金について: RDSはインスタンスが稼働している間は課金されます（db.t3.micro は無料枠外の場合 約$0.017/時間）。不要になったら必ず削除してください。

削除順序

依存関係があるため、必ずこの順番で削除します。

1. EC2インスタンスを終了（→ 終了済みになるまで待機）
2. RDSインスタンスを削除（→ 削除完了まで約10〜15分待機）
3. RDS DBサブネットグループを削除
4. SSM Parameter Storeのパラメータを削除
5. セキュリティグループを削除（RDS用 → EC2用の順）
6. ルートテーブルの関連付け解除・削除
7. インターネットゲートウェイをデタッチ・削除
8. サブネットを削除（3つ）
9. VPCを削除
10. IAMロールを削除
11. キーペアを削除（任意）

1. EC2インスタンスを終了する

EC2 → インスタンス → my-rds-ap-instance を選択 → 「インスタンスの状態」→「インスタンスを終了」

確認ダイアログで「終了」をクリック。「終了済み」になるまで待ちます（2〜5分）。

2. RDSインスタンスを削除する

Aurora and RDS → データベース → my-rds-mysql を選択 → 「アクション」→「削除」

「削除」をクリック。削除完了まで約10〜15分かかります。ステータスが「削除中」から消えるまで待ちます。

注意: 「最終スナップショットを作成」にチェックを入れると、削除後もスナップショットが残り別途保存料金が発生します。必ず外してください。

3. RDS DBサブネットグループを削除する

Aurora and RDS → サブネットグループ → my-rds-subnet-group を選択 → 「削除」

RDSインスタンスが完全に削除されている必要があります。「使用中」エラーが出る場合はRDS削除完了を待ちます。

4. SSM Parameter Storeのパラメータを削除する

Systems Manager → パラメータストア → /my/rds/db-password を選択 → 「削除」

5. セキュリティグループを削除する

EC2 → セキュリティグループ

EC2のSGはRDS SGのソースとして参照されているため、RDS SGから先に削除します。

1. my-rds-sg を選択 → 「アクション」→「セキュリティグループを削除」
2. my-rds-ec2-sg を選択 → 「アクション」→「セキュリティグループを削除」

6. ルートテーブルを削除する

VPC → ルートテーブル

まず各ルートテーブルのサブネット関連付けを解除してから削除します。

1. my-public-rt を選択 → 「サブネットの関連付け」タブ → 「サブネットの関連付けを編集」→ チェックをすべて外す → 「保存」
2. my-private-rt を選択 → 同様に関連付けを解除
3. 各ルートテーブルを選択 → 「アクション」→「ルートテーブルの削除」

7. インターネットゲートウェイをデタッチ・削除する

VPC → インターネットゲートウェイ → my-rds-igw を選択

1. 「アクション」→「VPCからデタッチ」→「デタッチ」
2. 「アクション」→「インターネットゲートウェイの削除」→「削除」

8. サブネットを削除する（3つ）

VPC → サブネット

my-public-subnet・my-private-subnet-1・my-private-subnet-2 を選択 → 「アクション」→「サブネットの削除」

9. VPCを削除する

VPC → お使いのVPC → my-rds-vpc を選択 → 「アクション」→「VPCの削除」

10. IAMロールを削除する

IAM → ロール → my-rds-ec2-role を選択 → 「削除」

11. キーペアを削除する（任意）

EC2 → キーペア → my-rds-mysql-key を選択 → 「アクション」→「削除」

まとめ

EC2にDBをインストールする方式との最大の違いは、AWSがOSのメンテナンス・パッチ・バックアップを自動管理してくれる点です。パスワードをParameter Storeで管理し、SG-to-SGでRDSへのアクセスを制御するパターンは、実際のAWS本番環境でも標準的な設計です。

CloudFormationで同じ構成を自動化したい場合は、CloudFormation版ハンズオンを参照してください。コマンド1本で22リソースを一括デプロイできます。

The post AWSコンソールでRDS MySQL + EC2接続環境を構築する手順【DBサブネットグループ / Parameter Storeパスワード管理】 first appeared on CayTech Lab.

はじめに

「コンソールで40〜50分かかったRDS + EC2環境をコードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにVPC・サブネット・セキュリティグループ・IAMロール・SSM Parameter Store・RDS MySQL・EC2（22リソース）を定義し、コマンド1本でRDS + EC2接続環境を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成を、CloudFormationで自動化します。

ローカル環境（VSCode）
  ├── template.yaml（22リソースを定義）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  └── VPC（10.0.0.0/16）
        ├── パブリックサブネット（10.0.1.0/24 / AZ-a）
        │     └── EC2（Apache + mariadb client / パブリックIP あり）
        │           └── IAMロール → SSM Parameter Store
        │
        ├── DBサブネットグループ
        │     ├── プライベートサブネット1（10.0.2.0/24 / AZ-a）← RDS配置
        │     └── プライベートサブネット2（10.0.3.0/24 / AZ-c）← 2AZ要件
        │
        └── SSM Parameter Store: /my/rds/db-password

このハンズオンで体験できること：

• VPC・サブネット3つ・IGW・ルートテーブル・SG・IAM・SSM・RDS・EC2を template.yaml 1ファイルで定義する方法
• DBPassword パラメータを NoEcho: true でマスクしてセキュアに渡す方法
• DeletionPolicy: Delete + BackupRetentionPeriod: 0 でスタック削除時にRDSを確実に削除する設定
• CloudFormation が SecureString を作れない理由と代替手段

このハンズオンの特徴：

• コンソール版では40〜50分かかった作業が、コマンド1本（RDS待ち15〜20分含む）で完了
• delete-stack 1本でRDS・VPC・IAMなど22リソースの依存関係を自動解決して削除

この記事は AWSコンソール版ハンズオン の比較記事です。
コンソール版でRDS・DBサブネットグループ・Parameter Storeを視覚的に学んだ後に読むと理解が深まります。

-->

CloudFormation vs コンソール：どれだけ違うか

キーワード解説

前提条件

AWS認証確認:

aws sts get-caller-identity

構築されるリソース（22個）

template.yaml（完全版）

このファイルをそのまま使ってハンズオンを実施できます。C:\my-aws\aws-learning-projects\rds-mysql-ec2\template.yaml として保存してください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'RDS MySQL + EC2 connection hands-on with SSM Parameter Store password management'

Parameters:
  EmployeeId:
    Type: String
    Default: '123456'
    Description: Employee ID used as a prefix for resource names

  KeyName:
    Type: String
    Default: 'my-rds-mysql-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '123.456.78.901/32'    # [IMPORTANT] Replace with your own IP (check: curl https://checkip.amazonaws.com)
    Description: Your IP address to allow SSH and HTTP access (CIDR format e.g. 123.456.78.901/32)

  DBPassword:
    Type: String
    Default: 'Handson1234!'
    NoEcho: true
    Description: Master password for RDS MySQL (also stored in SSM Parameter Store)

Resources:

  # VPC and Network
  # ============================================================

  # VPC: isolated network for this hands-on
  VPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-vpc'
        - Key: Cost
          Value: !Ref EmployeeId

  # Internet Gateway: connects public subnet to the internet
  InternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-igw'
        - Key: Cost
          Value: !Ref EmployeeId

  # Attach Internet Gateway to VPC
  IGWAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway

  # Public Subnet (AZ-a): EC2 AP server is placed here
  PublicSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.1.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-public-subnet'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 1 (AZ-a): RDS instance is placed here
  PrivateSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.2.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-private-subnet-1'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 2 (AZ-b): required for RDS Subnet Group (minimum 2 AZs)
  # RDS Subnet Group must span at least 2 AZs even for single-AZ deployments
  PrivateSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.3.0/24
      AvailabilityZone: !Select [1, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-private-subnet-2'
        - Key: Cost
          Value: !Ref EmployeeId

  # Public Route Table: routes internet traffic via Internet Gateway
  PublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-public-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  # Default route for public subnet: 0.0.0.0/0 -> Internet Gateway
  PublicRoute:
    Type: AWS::EC2::Route
    DependsOn: IGWAttachment
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway

  PublicSubnetRouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet
      RouteTableId: !Ref PublicRouteTable

  # Private Route Table: no internet route (intra-VPC traffic only)
  PrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-private-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  PrivateSubnet1RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet1
      RouteTableId: !Ref PrivateRouteTable

  PrivateSubnet2RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable

  # S3 VPC Gateway Endpoint: free, allows EC2 in public subnet to reach S3 for dnf package downloads
  S3VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      VpcId: !Ref VPC
      ServiceName: !Sub 'com.amazonaws.${AWS::Region}.s3'
      VpcEndpointType: Gateway
      RouteTableIds:
        - !Ref PublicRouteTable
        - !Ref PrivateRouteTable

  # ============================================================
  # IAM
  # ============================================================

  # IAM Role: EC2 can use Session Manager and read SSM Parameter Store
  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub 'n${EmployeeId}-rds-ec2-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
        - arn:aws:iam::aws:policy/AmazonSSMReadOnlyAccess
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-ec2-role'
        - Key: Cost
          Value: !Ref EmployeeId

  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: !Sub 'n${EmployeeId}-rds-ec2-profile'
      Roles:
        - !Ref EC2Role

  # ============================================================
  # Security Groups
  # ============================================================

  # EC2 Security Group: SSH and HTTP access from MyIP
  EC2SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} EC2 AP server SG'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP
        - IpProtocol: tcp
          FromPort: 80
          ToPort: 80
          CidrIp: !Ref MyIP
          Description: HTTP from my IP
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-ec2-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # RDS Security Group: MySQL(3306) from EC2 SG only - not open to the internet
  RDSSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} RDS MySQL SG (EC2-to-RDS only)'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          SourceSecurityGroupId: !GetAtt EC2SecurityGroup.GroupId
          Description: MySQL from EC2 SG only (SG-to-SG control)
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # SSM Parameter Store (password management)
  # NOTE: CloudFormation can only create String type, not SecureString.
  # In production, create a SecureString manually and reference it with
  # {{resolve:ssm-secure:/path/to/param}}
  # ============================================================
  DBPasswordParam:
    Type: AWS::SSM::Parameter
    Properties:
      Name: !Sub '/n${EmployeeId}/rds/db-password'
      Type: String
      Value: !Ref DBPassword
      Description: !Sub 'RDS MySQL master password for n${EmployeeId} hands-on'
      Tags:
        Cost: !Ref EmployeeId

  # ============================================================
  # RDS
  # ============================================================

  # DB Subnet Group: registers which subnets RDS can use
  # Requires subnets in at least 2 different Availability Zones
  DBSubnetGroup:
    Type: AWS::RDS::DBSubnetGroup
    Properties:
      DBSubnetGroupDescription: !Sub 'n${EmployeeId} RDS subnet group (private subnets in 2 AZs)'
      SubnetIds:
        - !Ref PrivateSubnet1
        - !Ref PrivateSubnet2
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-subnet-group'
        - Key: Cost
          Value: !Ref EmployeeId

  # RDS MySQL Instance (single-AZ, db.t3.micro - free tier eligible)
  RDSInstance:
    Type: AWS::RDS::DBInstance
    DeletionPolicy: Delete
    Properties:
      DBInstanceIdentifier: !Sub 'n${EmployeeId}-rds-mysql'
      DBInstanceClass: db.t3.micro
      Engine: mysql
      EngineVersion: '8.0'
      MasterUsername: admin
      MasterUserPassword: !Ref DBPassword
      AllocatedStorage: '20'
      StorageType: gp2
      DBName: sampledb
      DBSubnetGroupName: !Ref DBSubnetGroup
      VPCSecurityGroups:
        - !GetAtt RDSSecurityGroup.GroupId
      MultiAZ: false
      PubliclyAccessible: false
      BackupRetentionPeriod: 0
      DeleteAutomatedBackups: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-mysql'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # EC2 (AP Server)
  # ============================================================

  # AP Server: Apache + MySQL client in public subnet
  EC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SubnetId: !Ref PublicSubnet
      SecurityGroupIds:
        - !GetAtt EC2SecurityGroup.GroupId
      IamInstanceProfile: !Ref EC2InstanceProfile
      UserData:
        Fn::Base64: |
          #!/bin/bash
          dnf update -y
          dnf install -y httpd mariadb105
          systemctl start httpd
          systemctl enable httpd
          echo "<h1>AP Server - RDS MySQL Hands-on</h1>" > /var/www/html/index.html
          echo "<p>This server connects to RDS MySQL in the private subnet.</p>" >> /var/www/html/index.html
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-rds-ap-instance'
        - Key: Cost
          Value: !Ref EmployeeId

Outputs:
  EC2PublicIP:
    Description: EC2 AP server public IP
    Value: !GetAtt EC2Instance.PublicIp

  WebsiteURL:
    Description: EC2 AP server website URL
    Value: !Sub 'http://${EC2Instance.PublicIp}'

  RDSEndpoint:
    Description: RDS MySQL endpoint hostname (use this from EC2 to connect)
    Value: !GetAtt RDSInstance.Endpoint.Address

  DBPasswordParamName:
    Description: SSM Parameter Store path for RDS password
    Value: !Ref DBPasswordParam

  SSHCommand:
    Description: SSH command to EC2 AP server
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${EC2Instance.PublicIp}'

  MySQLConnectCommand:
    Description: MySQL connect command (run this FROM the EC2 AP server)
    Value: !Sub 'mysql -h ${RDSInstance.Endpoint.Address} -u admin -pHandson1234! sampledb'

template.yaml の設計ポイント（RDS固有）:

DeletionPolicy の3種類:

なぜ DeletionPolicy: Delete を明示するか: RDSはデフォルトでスナップショット作成を要求される場合があります。明示的に Delete を指定することで確実にスキップできます。また BackupRetentionPeriod: 0 で自動バックアップを無効にし、削除をよりスムーズにしています。

CloudFormationが SecureString を作れない理由:

AWS::SSM::Parameter は String と StringList のみサポートしています。SecureString は KMS の複雑な依存関係があるためサポート外です。本番環境では事前に SecureString を作成し {{resolve:ssm-secure:/path}} で参照する方法が推奨されます。

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する（RDSは15〜20分かかる）
      ↓
⑤ 動作確認（Web・SSH・RDS接続）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

CloudFormationではキーペアのダウンロードができないため、コンソールで先に作成します。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

ダウンロードされた my-rds-mysql-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-rds-mysql-key.pem

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\rds-mysql-ec2

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えます。

aws cloudformation create-stack ^
  --stack-name my-rds-mysql-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=EmployeeId,ParameterValue=123456 ^
    ParameterKey=KeyName,ParameterValue=my-rds-mysql-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32 ^
    ParameterKey=DBPassword,ParameterValue=Handson1234!

DBPassword パラメータについて: NoEcho: true が設定されているため、コンソール上では **** とマスクされます。

CAPABILITY_NAMED_IAM について: EC2Role のように名前を指定したIAMリソースを作成する場合に必要なフラグです。

成功すると以下のような StackId が表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-rds-mysql-stack/xxxxx"
}

④ 作成完了・Outputsの確認

注意: RDSの作成には約15〜20分かかります。CREATE_IN_PROGRESS が続く間は正常です。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-rds-mysql-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-rds-mysql-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

+---------------------+--------------------------------------------------------------------+
|  OutputKey          |  OutputValue                                                       |
+---------------------+--------------------------------------------------------------------+
|  EC2PublicIP        |  x.x.x.x                                                          |
|  WebsiteURL         |  http://x.x.x.x                                                   |
|  RDSEndpoint        |  my-rds-mysql.xxxxx.ap-northeast-1.rds.amazonaws.com         |
|  DBPasswordParamName|  /my/rds/db-password                                         |
|  SSHCommand         |  ssh -i C:\Users\...\.ssh\...pem ec2-user@x.x.x.x                 |
|  MySQLConnectCommand|  mysql -h my-rds-mysql.xxxxx...rds.amazonaws.com -u admin ... |
+---------------------+--------------------------------------------------------------------+

控えておく情報: EC2PublicIP、RDSEndpoint

⑤ 動作確認

Webブラウザで確認

Outputsに表示された WebsiteURL をブラウザで開きます。

「AP Server - RDS MySQL Hands-on」と表示されればEC2は正常です。

EC2にSSH接続する

Outputsの SSHCommand を実行します（パスは実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-rds-mysql-key.pem ec2-user@（EC2PublicIP）

Parameter StoreからDBパスワードを取得する

EC2に接続した状態で実行します。

aws ssm get-parameter \
  --name "/my/rds/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1

Handson1234! が表示されれば成功です。

--with-decryption が不要な理由: CloudFormationで作成したパラメータは Type: String（平文）のため、フラグなしでそのまま値が返ります。コンソールで SecureString として作成した場合は --with-decryption が必要です（コンソール版参照）。

RDSへのMySQL接続テスト

# RDSエンドポイントをOutputsの値に置き換える
RDS_ENDPOINT="my-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"

# Parameter StoreからDBパスワードを取得して接続（String型のため--with-decryption不要）
DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/rds/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1)

mysql -h $RDS_ENDPOINT -u admin -p"$DB_PASSWORD" sampledb

または Outputsに表示された MySQLConnectCommand を直接実行してもかまいません。

接続成功後、SQL操作を確認します。

-- テーブル作成
CREATE TABLE users (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(50),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO users (name) VALUES ('Alice'), ('Bob');

-- データ確認
SELECT * FROM users;

-- 後片付け
DROP TABLE users;

EXIT;

EC2からSSH接続を切断します。

exit

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

aws cloudformation delete-stack ^
  --stack-name my-rds-mysql-stack ^
  --region ap-northeast-1

注意: RDS削除には約10〜15分かかります。コマンド実行後もしばらく待つ必要があります。

削除状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-rds-mysql-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

削除完了の確認（以下のエラーが表示されれば削除完了）:

aws cloudformation describe-stacks ^
  --stack-name my-rds-mysql-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-rds-mysql-stack does not exist

このメッセージが表示されれば削除完了です。

キーペアの手動削除

キーペアはCloudFormationで管理していないため手動で削除します。

EC2 → キーペア → my-rds-mysql-key を選択 → 「アクション」→「削除」

コンソール版との比較

トラブルシューティング

失敗時の詳細確認コマンド

aws cloudformation describe-stack-events ^
  --stack-name my-rds-mysql-stack ^
  --query "StackEvents[?ResourceStatus=='CREATE_FAILED'].[ResourceType,ResourceStatusReason]" ^
  --output table

まとめ

CloudFormation版の最大のメリットは再現性と削除の簡単さです。コンソールでは40〜50分・11ステップかかった作業が、コマンド1本（待ち時間込みで約20分）で完了します。

コンソール操作でRDS・DBサブネットグループ・Parameter Storeを視覚的に確認したい場合は、AWSコンソール版ハンズオンを参照してください。

The post CloudFormationでRDS MySQL + EC2接続環境を自動構築する手順【22リソース一括デプロイ / コンソール版との比較付き】 first appeared on CayTech Lab.