AWS Glue 用 JDBC データストアに接続するための VPC の設定 - AWS Glue

AWS Glue 用 JDBC データストアに接続するための VPC の設定

AWS Glue コンポーネントで通信を可能にするには、Amazon Redshift や Amazon RDS などのデータストアへのアクセスを設定する必要があります。AWS Glue がコンポーネント間で通信できるようにするには、すべての TCP ポートに対して自己参照のインバウンドルールを持つセキュリティグループを指定します。自己参照ルールを作成することで、ソースを VPC 内の同じセキュリティグループに制限することができ、ネットワーク全体には公開されません。VPC のデフォルトのセキュリティグループには、すでに ALL Traffic (すべてのトラフィック) の自己参照インバウンドルールがある場合があります。

Amazon Redshift データストアへのアクセスをセットアップするには

  1. AWS Management Console にサインインして、(https://console.aws.amazon.com/redshift/)でAmazon Redshift コンソール を開きます。

  2. 左のナビゲーションペインで [Clusters] (クラスター) を選択します。

  3. AWS Glue からアクセスするクラスターの名前を選択します。

  4. [Cluster Properties (クラスターのプロパティ)] セクションで、[VPC security groups (VPC セキュリティグループ)] 内のセキュリティグループを選択し、AWS Glue が使用できるようにします。今後の参照用に選択したセキュリティグループの名前を記録します。Amazon EC2 コンソールでセキュリティグループを選択すると、[Security Groups] (セキュリティグループ) の一覧が開きます。

  5. 変更するセキュリティグループを選択し、[Inbound (インバウンド)] タブに移動します。

  6. 自己参照ルールを追加して、AWS Glue コンポーネントが通信できるようにします。具体的には、[Type (タイプ)] All TCP、[Protocol (プロトコル)] は TCP、[Port Range (ポート範囲)] にはすべてのポートが含まれ、[Source (ソース)] は [Group ID (グループ ID)] と同じセキュリティグループ名であるというルールを追加または確認します。

    インバウンドルールは以下のようになります。

    タイプ プロトコル ポート範囲 ソース

    すべての TCP

    TCP

    0~65535

    database-security-group

    例:

    自己参照のインバウンドルールの例。

  7. アウトバウンドトラフィックのルールも追加します。すべてのポートへのアウトバウンドトラフィックを開きます。以下に例を示します。

    タイプ プロトコル ポート範囲 送信先

    すべてのトラフィック

    すべて

    すべて

    0.0.0.0/0

    または、[Type (タイプ)] は All TCP、[Protocol (プロトコル)] は TCP、[Port Range (ポート範囲)] にすべてのポートが含まれ、[Destination (宛先)] は [Group ID (グループ ID)] と同じセキュリティグループ名の自己参照ルールを作成します。Amazon S3 VPC エンドポイントを使用している場合は、Amazon S3 にアクセスするための HTTPS ルールも追加します。セキュリティグループルールには、VPC から Amazon S3 VPC エンドポイントへのトラフィックを許可するために、s3-prefix-list-id が必要です。

    例:

    タイプ プロトコル ポート範囲 送信先

    すべての TCP

    TCP

    0~65535

    security-group

    HTTPS

    TCP

    443

    s3-prefix-list-id

Amazon RDS データストアへのアクセスをセットアップするには

  1. AWS Management Console にサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. 左側のナビゲーションペインで、[Instances] (インスタンス) をクリックします。

  3. AWS Glue からアクセスする Amazon RDS [Engine] (エンジン) と [DB Instance] (DB インスタンス名) を選択します。

  4. [Instance Actions (インスタンスの操作)] から [See Details (詳細を表示)] を選択します。[Details] (詳細) タブで、 からアクセスする [Security GroupsAWS Glue] (セキュリティグループ) を見つけます。今後の参照用にセキュリティグループの名前を記録します。

  5. セキュリティグループを選択してAmazon EC2 コンソールを開きます。

  6. Amazon RDS の [Group ID] (グループ ID) が選択されていることを確認し、[Inbound] (インバウンド) タブを開きます。

  7. 自己参照ルールを追加して、AWS Glue コンポーネントが通信できるようにします。具体的には、[Type (タイプ)] All TCP、[Protocol (プロトコル)] は TCP、[Port Range (ポート範囲)] にはすべてのポートが含まれ、[Source (ソース)] は [Group ID (グループ ID)] と同じセキュリティグループ名であるというルールを追加または確認します。

    インバウンドルールは次のようになります。

    タイプ プロトコル ポート範囲 ソース

    すべての TCP

    TCP

    0~65535

    database-security-group

    例:

    自己参照のインバウンドルールの例。

  8. アウトバウンドトラフィックのルールも追加します。すべてのポートへのアウトバウンドトラフィックを開きます。以下に例を示します。

    タイプ プロトコル ポート範囲 送信先

    すべてのトラフィック

    すべて

    すべて

    0.0.0.0/0

    または、[Type (タイプ)] は All TCP、[Protocol (プロトコル)] は TCP、[Port Range (ポート範囲)] にすべてのポートが含まれ、[Destination (宛先)] は [Group ID (グループ ID)] と同じセキュリティグループ名の自己参照ルールを作成します。Amazon S3 VPC エンドポイントを使用している場合は、Amazon S3 にアクセスするための HTTPS ルールも追加します。セキュリティグループルールには、VPC から Amazon S3 VPC エンドポイントへのトラフィックを許可するために、s3-prefix-list-id が必要です。

    例:

    タイプ プロトコル ポート範囲 送信先

    すべての TCP

    TCP

    0~65535

    security-group

    HTTPS

    TCP

    443

    s3-prefix-list-id