Por que não consigo me conectar ao Amazon RDS depois de configurá-lo?

Acabei de criar a conta Amazon RDS. E eu iniciei uma instância de banco de dados.

The "endpoint" is:
abcw3n-prod.cbmbuiv8aakk.us-east-1.rds.amazonaws.com

Ótimo! Agora, tento conectar-me a uma de minhas outras instâncias do EC2.

mysql -uUSER -pPASS -habcw3n-prod.cbmbuiv8aakk.us-east-1.rds.amazonaws.com

Mas nada funciona e simplesmente trava.

Eu tentei fazer ping, e nada funciona também. Nada acontece.

Preciso alterar algumas configurações?

Por padrão, o RDS não permite nenhuma conexão não especificada no Grupo de Segurança (SG). Você pode permitir com base no endereçamento CIDR ou pelo número da conta Amazon, o que permitiria a qualquer EC2 sob essa conta acessá-lo.

É "apenas travado", pois você não configurou o firewall para aceitar conexões mySQL de sua outra instância; portanto, o pacote está sendo descartado no nível do firewall, para resolver isso, é necessário:

1. entre no seu console da AWS
2. Guia EC2
3. Anote o grupo de segurança do seu servidor mySQL (chame isso de SG-MYSQL por enquanto)
4. clique em grupos de segurança à esquerda do console
5. clique no seu grupo no menu central SG-MYSQL
6. clique na guia de entrada
7. selecione mySQL na lista, adicione os detalhes do seu servidor cliente e salve a regra

OBSERVAÇÃO: o IP de origem do servidor não será o seu IP elástico (na maioria dos casos, de qualquer maneira), você terá um ip interno no dispositivo (ifconfig no linux mostrará isso).

Muita conversa aqui sobre grupos de segurança, mas também verifique:

• As sub-redes associadas parecem configuradas corretamente?
• As sub-redes fazem parte de um grupo de roteamento que parece configurado corretamente (gateway da Internet especificado, etc?)
• O RDS diz que é publicamente acessível?
• E, claro, verifique o RDS Security Group e o EC2 Security Group
  • Não esqueça que o IP de origem real pode ser um IP interno (se estiver acessando internamente por meio de uma VPC) ou um IP externo (que pode ser o IP de um roteador ou o IP de Instância de uma instância do EC2 que seja distinto do IP do Balanceador de Carga / Elástico) - para solucionar problemas, você pode tentar permitir o acesso a todos os IPs e portas.

(O grupo de roteamento era meu problema; ao criar uma nova sub-rede, deixei de adicioná-lo a um grupo de roteamento com um gateway.)

Fixo.

Tinha que conceder acesso a ele nos grupos de segurança sob o DB ...

Eu tive o mesmo problema ;

1. Grupos de Segurança> rds-launch-wizard (ou qualquer nome escolhido para o db SG)
2. selecione a guia Entrada> editar
3. adicionar nova função
4. MySQL
5. Fonte -> insira o aws vm ip (por exemplo: 12.3.14.80/32)

trabalhou para mim ...

Em uma tentativa de abrir a segurança completamente para teste antes de bloquear o acesso, minha instância de banco de dados e minha instância EC2 usaram o mesmo grupo de segurança, e as portas de entrada e saída 3306 foram configuradas para permitir conexões de Qualquer Lugar. O problema - eu consegui me conectar ao Aurora pelo meu notebook, mas estranhamente não pela minha instância do EC2, como se a instância do EC2 não fosse o Anywhere. A solução foi adicionar outra regra de entrada do mysql / Aurora e especificar o mesmo ID do grupo de segurança que a origem das conexões de entrada. Meu grupo de segurança possui uma regra que se refere a si próprio e posso conectar-me no meu notebook ou na minha instância do EC2.

regra de entrada mysql deve ser como abaixo

este é o problema com o grupo de segurança.