AWS Glue 用 JDBC データストアに接続するための VPC の設定
AWS Glue コンポーネントで通信を可能にするには、Amazon Redshift や Amazon RDS などのデータストアへのアクセスを設定する必要があります。AWS Glue がコンポーネント間で通信できるようにするには、すべての TCP ポートに対して自己参照のインバウンドルールを持つセキュリティグループを指定します。自己参照ルールを作成することで、ソースを VPC 内の同じセキュリティグループに制限することができ、ネットワーク全体には公開されません。VPC のデフォルトのセキュリティグループには、すでに ALL Traffic (すべてのトラフィック) の自己参照インバウンドルールがある場合があります。
Amazon Redshift データストアへのアクセスをセットアップするには
AWS Management Console にサインインして、(https://console.aws.amazon.com/redshift/)
でAmazon Redshift コンソール を開きます。 -
左のナビゲーションペインで [Clusters] (クラスター) を選択します。
-
AWS Glue からアクセスするクラスターの名前を選択します。
-
[Cluster Properties (クラスターのプロパティ)] セクションで、[VPC security groups (VPC セキュリティグループ)] 内のセキュリティグループを選択し、AWS Glue が使用できるようにします。今後の参照用に選択したセキュリティグループの名前を記録します。Amazon EC2 コンソールでセキュリティグループを選択すると、[Security Groups] (セキュリティグループ) の一覧が開きます。
-
変更するセキュリティグループを選択し、[Inbound (インバウンド)] タブに移動します。
-
自己参照ルールを追加して、AWS Glue コンポーネントが通信できるようにします。具体的には、[Type (タイプ)]
All TCP
、[Protocol (プロトコル)] はTCP
、[Port Range (ポート範囲)] にはすべてのポートが含まれ、[Source (ソース)] は [Group ID (グループ ID)] と同じセキュリティグループ名であるというルールを追加または確認します。インバウンドルールは以下のようになります。
タイプ プロトコル ポート範囲 ソース すべての TCP
TCP
0~65535
database-security-group
例:
-
アウトバウンドトラフィックのルールも追加します。すべてのポートへのアウトバウンドトラフィックを開きます。以下に例を示します。
タイプ プロトコル ポート範囲 送信先 すべてのトラフィック
すべて
すべて
0.0.0.0/0
または、[Type (タイプ)] は
All TCP
、[Protocol (プロトコル)] はTCP
、[Port Range (ポート範囲)] にすべてのポートが含まれ、[Destination (宛先)] は [Group ID (グループ ID)] と同じセキュリティグループ名の自己参照ルールを作成します。Amazon S3 VPC エンドポイントを使用している場合は、Amazon S3 にアクセスするための HTTPS ルールも追加します。セキュリティグループルールには、VPC から Amazon S3 VPC エンドポイントへのトラフィックを許可するために、s3-prefix-list-id
が必要です。例:
タイプ プロトコル ポート範囲 送信先 すべての TCP
TCP
0~65535
security-group
HTTPS
TCP
443
s3-prefix-list-id
Amazon RDS データストアへのアクセスをセットアップするには
AWS Management Console にサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/
) を開きます。 -
左側のナビゲーションペインで、[Instances] (インスタンス) をクリックします。
-
AWS Glue からアクセスする Amazon RDS [Engine] (エンジン) と [DB Instance] (DB インスタンス名) を選択します。
-
[Instance Actions (インスタンスの操作)] から [See Details (詳細を表示)] を選択します。[Details] (詳細) タブで、 からアクセスする [Security GroupsAWS Glue] (セキュリティグループ) を見つけます。今後の参照用にセキュリティグループの名前を記録します。
-
セキュリティグループを選択してAmazon EC2 コンソールを開きます。
-
Amazon RDS の [Group ID] (グループ ID) が選択されていることを確認し、[Inbound] (インバウンド) タブを開きます。
-
自己参照ルールを追加して、AWS Glue コンポーネントが通信できるようにします。具体的には、[Type (タイプ)]
All TCP
、[Protocol (プロトコル)] はTCP
、[Port Range (ポート範囲)] にはすべてのポートが含まれ、[Source (ソース)] は [Group ID (グループ ID)] と同じセキュリティグループ名であるというルールを追加または確認します。インバウンドルールは次のようになります。
タイプ プロトコル ポート範囲 ソース すべての TCP
TCP
0~65535
database-security-group
例:
-
アウトバウンドトラフィックのルールも追加します。すべてのポートへのアウトバウンドトラフィックを開きます。以下に例を示します。
タイプ プロトコル ポート範囲 送信先 すべてのトラフィック
すべて
すべて
0.0.0.0/0
または、[Type (タイプ)] は
All TCP
、[Protocol (プロトコル)] はTCP
、[Port Range (ポート範囲)] にすべてのポートが含まれ、[Destination (宛先)] は [Group ID (グループ ID)] と同じセキュリティグループ名の自己参照ルールを作成します。Amazon S3 VPC エンドポイントを使用している場合は、Amazon S3 にアクセスするための HTTPS ルールも追加します。セキュリティグループルールには、VPC から Amazon S3 VPC エンドポイントへのトラフィックを許可するために、s3-prefix-list-id
が必要です。例:
タイプ プロトコル ポート範囲 送信先 すべての TCP
TCP
0~65535
security-group
HTTPS
TCP
443
s3-prefix-list-id