Accès à des données de VPC par l'intermédiaire d'interfaces réseau Elastic Propriétés d'interface réseau Elastic

Connexion à un magasin de données JDBC dans un VPC

Généralement, vous créez des ressources dans Amazon Virtual Private Cloud (Amazon VPC) afin qu'elles ne soient pas accessibles via l'Internet public. Par défaut, AWS Glue ne peut pas accéder aux ressources à l'intérieur d'un VPC. Pour permettre à AWS Glue d'accéder à des ressources au sein de votre VPC, vous devez fournir des informations de configuration supplémentaires spécifiques au VPC, en particulier les ID de sous-réseau VPC et les ID de groupe de sécurité. AWS Glue utilise ces informations pour configurer les interfaces réseau Elastic qui permettent à votre fonction de se connecter en toute sécurité à d'autres ressources dans votre VPC privé.

Lorsque vous utilisez un point de terminaison d'un VPC, ajoutez-le à votre table de routage. Pour de plus amples informations, consultez Creating an interface VPC endpoint for AWS Glue et Prérequis.

Lorsque vous utilisez le chiffrement dans le catalogue de données, créez le point de terminaison de l'interface KMS et ajoutez-le à votre table de routage. Pour de plus amples informations, consultez Creating a VPC endpoint for AWS KMS.

Accès à des données de VPC par l'intermédiaire d'interfaces réseau Elastic

Lorsqu'AWS Glue se connecte à un magasin de données JDBC dans un VPC, AWS Glue crée une interface réseau Elastic (avec le préfixe Glue_) dans votre compte pour accéder à vos données VPC. Vous ne pouvez pas supprimer cette interface réseau tant qu'elle est attachée à AWS Glue. Dans le cadre de la création de l'interface réseau Elastic, AWS Glue associe à celle-ci un ou plusieurs groupes de sécurité. Pour permettre à AWS Glue de créer l'interface réseau, les groupes de sécurité associés à la ressource doivent autoriser un accès entrant avec une règle source. Cette règle contient un groupe de sécurité associé à la ressource. Cela permet à l'interface réseau Elastic d'accéder à votre magasin de données avec le même groupe de sécurité.

Pour autoriser AWS Glue à communiquer avec ses composants, spécifiez un groupe de sécurité avec une règle entrante avec référence circulaire pour tous les ports TCP. En créant une règle avec référence circulaire, vous pouvez restreindre la source au même groupe de sécurité dans le VPC et ne pas l'ouvrir à tous les réseaux. Le groupe de sécurité par défaut pour votre VPC peut déjà avoir une règle entrante avec référence circulaire pour ALL Traffic.

Vous pouvez créer des règles dans la console Amazon VPC. Pour mettre à jour les paramètres de règle via la AWS Management Console, accédez à la console VPC (https://console.aws.amazon.com/vpc/) et sélectionnez le groupe de sécurité approprié. Spécifiez la règle entrante pour ALL TCP afin de disposer du même nom de groupe de sécurité en tant que source. Pour plus d'informations sur les règles des groupes de sécurité, consultez Groupes de sécurité pour votre VPC.

À chaque interface réseau Elastic est affectée une adresse IP privée comprise dans la plage d'adresses IP des sous-réseaux spécifiés. L'interface réseau ne se voit attribuer aucune adresse IP publique. AWS Glue nécessite un accès Internet (par exemple, pour accéder aux services AWS qui n'ont pas de points de terminaison de VPC). Vous pouvez configurer une instance NAT (Network Address Translation, traduction d'adresses réseau) dans votre VPC, ou utiliser la passerelle NAT Amazon VPC. Pour plus d'informations, veuillez consulter NAT Gateways (Passerelles NAT) dans le Guide de l'utilisateur Amazon VPC. Vous ne pouvez pas utiliser directement une passerelle Internet attachée à votre VPC en tant que routage dans votre table de routage de sous-réseau, car cela nécessite que l'interface réseau ait des adresses IP publiques.

Les attributs de réseau VPC enableDnsHostnames et enableDnsSupport doivent être définis sur true. Pour plus d'informations, consultez Utilisation de DNS avec votre VPC.

Important

Ne placez pas votre magasin de données dans un sous-réseau public ou dans un sous-réseau privé qui ne dispose pas d'un accès Internet. En revanche, attachez-le uniquement à des sous-réseaux privés disposant d'un accès Internet via une instance NAT ou une passerelle NAT Amazon VPC.

Propriétés d'interface réseau Elastic

Pour créer l'interface réseau Elastic, vous devez indiquer les propriétés suivantes :

VPC: Nom du VPC qui contient votre magasin de données.
Sous-réseau: Sous-réseau du VPC qui contient votre magasin de données.
Groupes de sécurité: Les groupes de sécurité qui sont associés à votre magasin de données. AWS Glue associe ces groupes de sécurité à l'interface réseau Elastic qui est attachée à votre sous-réseau VPC. Pour autoriser des composants AWS Glue à communiquer, ainsi que pour empêcher l'accès depuis d'autres réseaux, au moins un groupe de sécurité choisi doit spécifier une règle entrante avec référence circulaire pour tous les ports TCP.

Pour en savoir plus sur la gestion d'un VPC avec Amazon Redshift, veuillez consulter Gestion des clusters dans un Amazon Virtual Private Cloud (VPC).

Pour plus d'informations sur la gestion d'un VPC avec Amazon Relational Database Service (Amazon RDS), veuillez consulter Utilisation d'une instance de base de données Amazon RDS dans un VPC.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration des appels AWS pour passer via votre VPC

Utilisation d'une connexion MongoDB ou MongoDB Atlas