Amazon Neptune
Guide de l'utilisateur (Version de l'API 2017-11-29)

Configuration d'Amazon Neptune

Avant de créer une Instance de base de données Neptune, vous devez avoir un Amazon Virtual Private Cloud (VPC). Si vous souhaitez accéder à votre Instance de base de données Neptune depuis l'extérieur du VPC, vous devez également disposer d'un groupe de sécurité pour le VPC avec des règles qui vous permettent de vous connecter à l'Instance de base de données Neptune.

Vous avez également besoin d'un utilisateur IAM disposant des autorisations NeptuneFullAccess. Elles sont requises pour utiliser la console Neptune et créer un cluster Neptune. Pour en savoir plus sur l'ajout de ces autorisations, consultez Stratégies gérées par AWS (prédéfinies) pour Amazon Neptune.

La stratégie IAM NeptuneFullAccess n'octroie aucune autorisation pour VPC, les points de terminaison VPC ou S3. Vous devez ajouter ces autorisations supplémentaires à votre utilisateur ou rôle IAM pour utiliser d'autres services. Par exemple, si vous souhaitez que la console Neptune crée un VPC, l'utilisateur ou le rôle IAM doit disposer d'autorisations VPC.

Note

Neptune nécessite l'autorisation de création d'un rôle lié à un service la première fois que vous créez une ressource Neptune. Ajoutez les autorisations iam:CreateServiceLinkedRole suivantes au rôle ou à l'utilisateur auquel vous avez accordé les autorisations NeptuneFullAccess.

{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName":"rds.amazonaws.com" } } }

Pour plus d'informations, consultez Utilisation des rôles liés à un service pour Neptune.

Exigences du VPC Neptune

Si vous avez créé votre compte AWS après le 2013-12-04, vous disposez d'un VPC par défaut dans chaque région AWS. Si vous n'êtes pas sûr de disposer d'un VPC par défaut, consultez la section Comment déterminer si vous disposez d'un VPC par défaut dans le Guide de l'utilisateur Amazon VPC.

Pour plus d'informations sur le VPC par défaut, consultez la section VPC par défaut et sous-réseaux par défaut dans le Guide de l'utilisateur Amazon VPC.

Si vous disposez d'un VPC par défaut, vous pouvez créer un groupe de sécurité VPC pour permettre à une instance Amazon EC2 de se connecter à l'Instance de base de données Neptune depuis le VPC. L'accès à partir d'Internet est autorisé uniquement pour l'instance EC2. L'instance EC2 est autorisée à accéder à la base de données orientée graphe.

 VPC par défaut et plusieurs groupes de sécurité

Il existe de nombreuses façons de configurer un VPC ou plusieurs VPC. Pour plus d'informations sur la création de vos propres VPC, consultez le Guide de l'utilisateur Amazon VPC.

Un cluster de base de données Amazon Neptune ne peut être créé que dans un Amazon VPC comportant au moins deux sous-réseaux dans deux zones de disponibilité au moins. En répartissant vos instances de cluster sur deux zones de disponibilité au moins, vous garantissez que des instances seront disponibles dans votre cluster de base de données, dans l'éventualité peu probable d'une défaillance d'une zone de disponibilité. Le volume de cluster de votre cluster de base de données Neptune couvre toujours trois zones de disponibilité afin d'offrir un stockage durable avec un risque moindre de perte des données.

Si vous utilisez la console Amazon Neptune pour créer votre cluster de base de données Neptune, Neptune peut alors créer automatiquement un VPC pour vous. Une autre solution consiste à utiliser un VPC existant ou à créer un VPC pour votre cluster de base de données Neptune. Votre VPC doit avoir au moins deux sous-réseaux pour que vous puissiez l'utiliser avec un cluster de base de données Amazon Neptune.

Note

Vous pouvez communiquer avec une instance Amazon EC2 qui ne se trouve pas dans un VPC et un cluster de base de données Neptune à l'aide de ClassicLink.

Si vous n'avez pas de VPC par défaut et que vous n'avez pas créé de VPC, Neptune peut créer automatiquement un VPC quand vous créez un cluster de base de données Neptune à l'aide de la console. Neptune peut également créer un groupe de sécurité VPC et un groupe de sous-réseaux de base de données pour vous.

Sinon, vous devez exécuter les actions suivantes :

  • Créez un VPC avec au moins deux sous-réseaux dans au moins deux zones de disponibilité.

  • Spécifiez un groupe de sécurité VPC qui autorise les connexions à votre cluster de base de données Neptune. Vous pouvez le faire dans la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  • Spécifiez un groupe de sous-réseaux de base de données Neptune avec au moins deux sous-réseaux, chaque sous-réseau étant situé dans une zone de disponibilité distincte. Vous pouvez créer un groupe de sous-réseaux de base de données dans la console à Neptune à l'adresse https://console.aws.amazon.com/neptune/home.

    Vous devez créer un groupe de sous-réseaux de base de données Neptune avec la console. Les groupes de sous-réseaux de base de données Amazon RDS ne fonctionnent pas avec Neptune.

    Note

    Amazon Neptune n'est pas pris en charge dans chaque zone de disponibilité. Si vous recevez l'erreur de console DB Subnet Group doesn't meet availability zone coverage requirement (Le groupe de sous-réseau de base de données ne satisfait pas l'exigence de couverture de la zone de disponibilité), essayez d'ajouter les sous-réseaux des zones de disponibilité au groupe de sous-réseau de base de données.

La section suivante explique comment configurer un groupe de sécurité pour votre VPC par défaut, comme illustré dans le schéma précédent.

Création d'un groupe de sécurité pour autoriser l'accès à l'instance de bases de données Neptune dans le VPC

Votre Instance de base de données Neptune est lancée dans un VPC. Les groupes de sécurité autorisent l'accès à l'Instance de base de données Neptune dans le VPC. Ils font office de pare-feu pour l'Instance de base de données Neptune associée, en contrôlant le trafic entrant et le trafic sortant au niveau de l'instance. Par défaut, les entités Instance de base de données Neptune sont créées avec un pare-feu et un groupe de sécurité par défaut empêchant d'accéder à l'Instance de base de données Neptune. Vous devez ajouter des règles à un groupe de sécurité qui vous permettent de vous connecter à votre instance de bases de données.

Le groupe de sécurité que vous devez créer est un groupe de sécurité VPC. Les entités Instance de base de données Neptune dans un VPC nécessitent l'ajout de règles à un groupe de sécurité VPC afin d'autoriser l'accès à l'instance.

La procédure suivante vous montre comment ajouter une règle TCP personnalisée qui spécifie la plage de ports et les adresses IP que l'instance EC2 utilise pour accéder à la base de données. Vous pouvez utiliser le groupe de sécurité VPC attribué à l'instance EC2 au lieu de l'adresse IP.

Pour créer un groupe de sécurité VPC pour Neptune

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le coin supérieur droit de la console, choisissez la région AWS dans laquelle vous souhaitez créer le groupe de sécurité VPC et l'Instance de base de données Neptune. Dans la liste des ressources Amazon VPC de cette région, vous devez voir que vous possédez au moins un VPC et plusieurs sous-réseaux. Si ce n'est pas le cas, cela signifie que vous ne disposez pas de VPC par défaut dans cette région.

  3. Dans le volet de navigation, sélectionnez Security Groups.

  4. Sélectionnez Create Security Group.

  5. Dans la fenêtre Create Security Group, renseignez les champs Name tag, Group name et Description pour votre groupe de sécurité. Choisissez le VPC dans lequel vous souhaitez créer votre Instance de base de données Neptune. Choisissez Yes, Create.

  6. Le groupe de sécurité VPC que vous avez créé doit encore être sélectionné. Le volet des détails situé en bas de la fenêtre de la console affiche les détails du groupe de sécurité, ainsi que des onglets pour utiliser les règles entrantes et sortantes. Choisissez l'onglet Règles entrantes.

  7. Sous l'onglet Inbound Rules, choisissez Edit. Dans la liste Type, choisissez Custom TCP Rule (Règle TCP personnalisée).

  8. Dans la zone de texte PortRange, tapez 8182, la valeur de port par défaut pour une Instance de base de données Neptune. Saisissez ensuite la plage d'adresses IP (valeur CIDR) à partir de laquelle vous accéderez à l'instance, ou choisissez un nom de groupe de sécurité dans la zone de texte Source.

  9. Si vous devez ajouter d'autres adresses IP ou des plages de ports différentes, choisissez Add another rule (Ajouter une autre règle).

  10. Lorsque vous avez terminé, choisissez Save.

    Vous utiliserez le groupe de sécurité VPC que vous venez de créer pour votre instance de bases de données lors de sa création.

    Pour terminer, voici une dernière remarque sur les sous-réseaux VPC : si vous utilisez un VPC par défaut, un groupe de sous-réseaux par défaut couvrant l'ensemble des sous-réseaux du VPC est déjà créé pour vous. Lorsque vous utilisez l'assistant Launch a Instance de base de données Neptune (Lancer une Instance de base de données Neptune) pour créer une instance de base de données, vous pouvez choisir le VPC par défaut et utiliser default (par défaut) pour DB Subnet Group (Groupe de sous-réseau par défaut).

    Lorsque vous avez configuré vos exigences, vous pouvez utiliser les paramètres, ainsi que le groupe de sécurité que vous avez créé, pour lancer une Instance de base de données Neptune.