メニュー
Amazon ElastiCache
ユーザーガイド (API Version 2015-02-02)

ステップ 4: アクセスを許可する

このセクションでは、Amazon EC2 インスタンスの起動と接続に慣れていることを前提としています。詳細については、Amazon EC2 入門ガイド をご覧ください。

すべての ElastiCache クラスターは Amazon EC2 インスタンスからアクセスするように設計されています。クラスターとその関連 EC2 インスタンスは同じ Amazon Virtual Private Cloud (Amazon VPC) にあることが必要です。同じ VPC 内の EC2 インスタンス以外の場所から ElastiCache クラスターにアクセスする必要がある場合は、回避策としてキャッシュの VPC 内に EC2 ホストを 1 つ以上セットアップして外部のプロキシとして動作させることができます。ホストをセットアップすると、追加のネットワークホップまたは追加の Secure Sockets Layer (SSL) オーバーヘッド (または両方) が追加され、料金が発生します。ただし、多くのユースケースではコストは少額です。プロキシとなる EC2 インスタンスにクラスターへのアクセスを許可する必要があります。AWS の外部から ElastiCache リソースにアクセスする方法については、「AWS 外部からの ElastiCache リソースへのアクセス」を参照してください。

デフォルトでは、クラスターへのネットワークアクセスは、クラスターの起動に使用されたユーザーアカウントに制限されます。EC2 インスタンスからクラスターに接続するには、EC2 インスタンスにクラスターへのアクセスを許可する必要があります。必要な手順はクラスターを Amazon VPC 環境で起動したかどうかによって異なります。

先に進む前に、EC2-VPC と EC2-Classic のどちらでクラスターを起動したかを確認します。

AWS マネジメントコンソール を使用して EC2-VPC と EC2-Classic のどちらでクラスターを起動したかを調べるには

  1. AWS マネジメントコンソールにサインインをしたあと、https://console.aws.amazon.com/ec2/ にある Amazon EC2 コンソールを開きます。

  2. 右上隅の [Supported Platforms] を見つけます。

    [Supported Platforms] の下に、[VPC] のみか、[EC2] と [VPC] の両方が表示されています。

    [VPC] のみが表示されている場合は、「EC2-VPC でクラスターを起動した場合」に進みます。

    [EC2] および [VPC] の両方が表示されている場合は、「EC2-Classic でクラスターを起動した場合」に進みます。

詳細については、「Detecting Your Supported Platforms and Whether You Have a Default VPC」を参照してください。

AWS Command Line Interface (AWS CLI) を使用して EC2-VPC と EC2-Classic のどちらでクラスターを起動したかを調べるには

  1. コマンドウィンドウを開きます。

  2. コマンドプロンプトで、次のコマンドを入力します。

    Copy
    aws ec2 describe-account-attributes

    出力に [VPC] のみが表示されている場合は、「EC2-VPC でクラスターを起動した場合」に進みます。

    出力に [EC2] および [VPC] の両方が表示されている場合は、「EC2-Classic でクラスターを起動した場合」に進みます。

EC2-VPC でクラスターを起動した場合

クラスターを Amazon Virtual Private Cloud (Amazon VPC) で起動した場合、同じ Amazon VPC で実行されている Amazon EC2 インスタンスからのみ ElastiCache クラスターに接続できます。この場合、クラスターに対するネットワーク進入を許可する必要があります。

警告

ElastiCache クラスターを 0.0.0.0/0 (ステップ 4.e.) に設定した場合、パブリック IP アドレスが割り当てられず VPC 外からアクセスできないため、クラスターはインターネット接続できません。ただし、お客様のアカウントの他の Amazon EC2 インスタンスにデフォルトのセキュリティグループが適用され、そのインスタンスにパブリック IP アドレスが付与される場合があります。それがポート 6379 で実行された場合、意図しなくてもサービスが公開されることがあります。そのため、ElastiCache でのみ使用される VPC のセキュリティグループを作成されることをお勧めします。詳細については、「 カスタムセキュリティグループ」を参照してください。

Amazon VPC セキュリティグループからクラスターへのネットワーク進入を許可するには

  1. AWS マネジメントコンソールにサインインをしたあと、https://console.aws.amazon.com/ec2/ にある Amazon EC2 コンソールを開きます。

  2. 左側のナビゲーションペインで、[Network & Security] の下にある [Security Groups] を選択します。

  3. セキュリティグループのリストで、Amazon VPC のセキュリティグループを選択します。ElastiCache 用のセキュリティグループを作成した場合を除き、このセキュリティグループは、default という名前になります。

  4. [Inbound] タブを選択し、次の操作を行います。

    1. [Edit] を選択します。

    2. [Add rule] を選択します。

    3. [Type] 列で [Custom TCP rule] を選択します。

    4. [Port range] ボックスに、クラスターノードのポート番号を入力します。この番号は、クラスターの起動時に指定した番号と同じ番号である必要があります。デフォルトのポートは次のとおりです。

      • Memcached: ポート 11211

      • Redis: ポート 6379

    5. [Source] ボックスで [Anywhere] を選択します。ポート範囲が 0.0.0.0/0 になるため、Amazon VPC 内で起動したすべての Amazon EC2 インスタンスを ElastiCache ノードに接続できます。

    6. [Save] を選択します。

Amazon VPC で Amazon EC2 インスタンスを起動する場合、そのインスタンスは ElastiCache クラスターに接続できます。

EC2-Classic でクラスターを起動した場合

クラスターを EC2-Classic で起動した場合、Amazon EC2 インスタンスにクラスターへのアクセスを許可するには、そのインスタンスに関連付けられた Amazon EC2 セキュリティグループに、キャッシュセキュリティグループへのアクセスを許可する必要があります。

Amazon EC2 セキュリティグループにクラスターへのアクセスを許可するには

  1. AWS マネジメントコンソールにサインインし、ElastiCache コンソール(https://console.aws.amazon.com/elasticache/)を開きます。

  2. 左側のナビゲーションペインで [Cache Security Groups] を選択します。

    キャッシュセキュリティグループのリストが表示されます。

  3. default セキュリティグループを選択します。

  4. 画面の下部のリストから、許可する EC2 セキュリティグループ名を選択します。

  5. [Add] を選択し、アクセスを許可します。

    これで、セキュリティグループに関連付けられた Amazon EC2 インスタンスを、ElastiCache クラスターに接続できるようになりました。

セキュリティグループのアクセスを取り消すには、許可されたセキュリティグループのリストから該当のセキュリティグループを見つけて [Remove] を選択します。