からの Amazon RDS データストアへの JDBC 接続用の Amazon VPC のセットアップ AWS Glue - AWS Glue

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

からの Amazon RDS データストアへの JDBC 接続用の Amazon VPC のセットアップ AWS Glue

注記

新しい Amazon RDS データベースインスタンスでは、デフォルトで新しい証明書 が使用されますrds-ca-rsa2048-g1。 AWS Glueジョブとテスト接続は現在、 に依存していますcertificate rds-ca-2019。新しい Amazon RDS インスタンスをAWS Glueジョブまたはテスト接続に接続するには、AWSコンソールまたは rds-ca-2019から証明書を使用するようにインスタンスを設定しますAWS CLI。詳細については、「Amazon RDS ユーザーガイド」の「SSL/TLS を使用した DB インスタンスへの接続の暗号化」を参照してください。

JDBC を使用して Amazon RDS のデータベースに接続する場合は、追加のセットアップを実行する必要があります。AWS Glue コンポーネントが Amazon RDS と通信できるようにするには、Amazon VPC の Amazon RDS データストアへのアクセスを設定する必要があります。AWS Glue がコンポーネント間で通信できるようにするには、すべての TCP ポートに対して自己参照のインバウンドルールを持つセキュリティグループを指定します。自己参照ルールを作成することで、ソースを VPC 内の同じセキュリティグループに制限できます。自己参照ルールは、すべてのネットワークに対して VPC を開くわけではありません。VPC のデフォルトのセキュリティグループには、すでに ALL Traffic (すべてのトラフィック) の自己参照インバウンドルールがある場合があります。

Glue AWS と Amazon RDS データストア間のアクセスを設定するには

  1. AWS Management Console にサインインし、Amazon RDS コンソール https://console.aws.amazon.com/rds/ を開きます。

  2. Amazon RDS コンソールで、Amazon RDS データベースへのアクセスを制御するために使用されるセキュリティグループ (複数) を特定します。

    左側のナビゲーションペインで、データベース を選択し、メインペインのリストから接続するインスタンスを選択します。

    データベースの詳細ページで、接続とセキュリティタブで VPC セキュリティグループを見つけます。

  3. ネットワークアーキテクチャに基づいて、 Glue AWS サービスへのアクセスを許可するために、どの関連付けられたセキュリティグループを変更するのが最適かを特定します。後で参照database-security-groupできるように、名前を保存します。適切なセキュリティグループがない場合は、Amazon RDS ドキュメントの「セキュリティグループを作成して VPC 内の DB インスタンスへのアクセスを提供する」の指示に従ってください。

  4. AWS Management Console にサインインして、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  5. Amazon VPC コンソールで、 を更新する方法を特定しますdatabase-security-group

    左側のナビゲーションペインで、セキュリティグループ を選択し、メインペインdatabase-security-groupのリストから選択します。

  6. database-security-group、 のセキュリティグループ ID を特定しますdatabase-sg-id。今後の参照用に保存します。

    セキュリティグループの詳細ページで、セキュリティグループ ID を見つけます。

  7. のインバウンドルールを変更しdatabase-security-group、自己参照ルールを追加して、AWS Glueコンポーネントが通信できるようにします。具体的には、タイプが 、プロトコルAll TCPTCPポート範囲にすべてのポートが含まれ、ソースが であるルールを追加または確認しますdatabase-sg-idソースに入力したセキュリティグループが、編集しているセキュリティグループと同じであることを確認します。

    セキュリティグループの詳細ページで、インバウンドルールの編集を選択します。

    インバウンドルールは次のようになります。

    タイプ プロトコル ポート範囲 ソース

    すべての TCP

    TCP

    0~65535

    database-sg-id

  8. アウトバウンドトラフィックのルールを追加します。

    セキュリティグループの詳細ページで、アウトバウンドルールの編集を選択します。

    セキュリティグループですべてのアウトバウンドトラフィックが許可されている場合、個別のルールは必要ありません。例:

    タイプ プロトコル ポート範囲 デスティネーション

    すべてのトラフィック

    すべて

    すべて

    0.0.0.0/0

    ネットワークアーキテクチャがアウトバウンドトラフィックを制限するように設計されている場合は、次のアウトバウンドルールを作成します。

    タイプが 、プロトコルAll TCPポート範囲にすべてのポートが含まれTCP送信先が である自己参照ルールを作成しますdatabase-sg-idDestination に入力したセキュリティグループが、編集しているセキュリティグループと同じであることを確認します。

    Amazon S3 VPC エンドポイントを使用する場合は、HTTPS ルールを追加して、VPC から Amazon S3 へのトラフィックを許可します。TypeHTTPSProtocol が 、ポート範囲TCP443Destination が Amazon S3 ゲートウェイエンドポイントのマネージドプレフィックスリストの ID であるルールを作成しますprefix-list-id。プレフィックスリストと Amazon S3 ゲートウェイエンドポイントの詳細については、Amazon VPC ドキュメントの「Amazon Amazon S3のゲートウェイエンドポイント」を参照してください。

    例:

    タイプ プロトコル ポート範囲 デスティネーション

    すべての TCP

    TCP

    0~65535

    database-sg-id

    HTTPS

    TCP

    443

    s3-prefix-list-id