AWS Glue から Amazon RDS データストアに JDBC 接続するための Amazon VPC の設定 - AWS Glue

AWS Glue から Amazon RDS データストアに JDBC 接続するための Amazon VPC の設定

JDBC を使用して Amazon RDS のデータベースに接続すると、追加の設定を行う必要があります。AWS Glue コンポーネントが Amazon RDS を通信できるようにするには、Amazon VPC で Amazon RDS データストアへのアクセスを設定する必要があります。AWS Glue がコンポーネント間で通信できるようにするには、すべての TCP ポートに対して自己参照のインバウンドルールを持つセキュリティグループを指定します。自己参照ルールを作成することにより、ソースを VPC の同じセキュリティグループに制限することができます。自己参照ルールは、VPC をすべてのネットワークに開放しません。VPC のデフォルトのセキュリティグループには、すでに ALL Traffic (すべてのトラフィック) の自己参照インバウンドルールがある場合があります。

AWS Glue と Amazon RDS データストア間のアクセスを設定する方法

  1. AWS Management Console にサインインし、Amazon RDS コンソール https://console.aws.amazon.com/rds/ を開きます。

  2. Amazon RDS コンソールで、Amazon RDS データベースへのアクセスを管理するために使用するセキュリティグループを特定します。

    左側のナビゲーションペインで [データベース] を選択し、メインペインのリストから接続するインスタンスを選択します。

    データベースの詳細ページで、[接続とセキュリティ] タブで [VPC セキュリティグループ] を見つけます。

  3. ネットワークアーキテクチャに基づいて、AWS Glue サービスにアクセスを許可するための変更が最適な関連セキュリティグループを特定します。今後の参照のため、database-security-group の名前を保存します。適切なセキュリティグループがない場合、Amazon RDS ドキュメントの「セキュリティグループを作成して VPC 内の DB インスタンスへのアクセスを提供する」の指示に従ってください。

  4. AWS Management Console にサインインして、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  5. Amazon VPC コンソールで、database-security-group を更新する方法を特定します。

    左側のナビゲーションペインで [セキュリティグループ] を選択し、メインペインのリストから database-security-group を選択します。

  6. database-security-group および database-sg-id のセキュリティグループ ID を特定します。今後の参照のために保存します。

    セキュリティグループの詳細ページで、[セキュリティグループ ID] を探します。

  7. database-security-group のインバウンドルールを変更し、AWS Glue コンポーネントが通信できるように自己参照ルールを追加します。具体的には、[タイプ]All TCP[プロトコル]TCP[ポート範囲] にすべてのポートが含まれ、[ソース]database-sg-id であるルールを追加または存在することを確認します。[ソース] に入力したセキュリティグループが、編集中のセキュリティグループと同じであることを確認します。

    セキュリティグループの詳細ページで、[インバウンドルールの編集] を選択します。

    インバウンドルールは次のようになります。

    タイプ プロトコル ポート範囲 ソース

    すべての TCP

    TCP

    0~65535

    database-sg-id

  8. アウトバウンドトラフィックのルールを追加します。

    セキュリティグループの詳細ページで、[アウトバウンドルールの編集] を選択します。

    セキュリティグループがすべてのアウトバウンドトラフィックを許可する場合、個別のルールは必要ありません。例:

    タイプ プロトコル ポート範囲 デスティネーション

    すべてのトラフィック

    すべて

    すべて

    0.0.0.0/0

    ネットワークアーキテクチャがアウトバウンドトラフィックを制限するために設計されている場合、次のアウトバウンドルールを作成してください。

    [タイプ]All TCP[プロトコル]TCP[ポート範囲] にすべてのポートが含まれ、[送信先]database-sg-id である自己参照ルールを作成します。[送信先] に入力したセキュリティグループが、編集中のセキュリティグループと同じであることを確認します。

    Amazon S3 VPC エンドポイントを使用している場合、VPC から Amazon S3 へのトラフィックを許可する HTTPS ルールを追加します。[タイプ]HTTPS[プロトコル]TCP[ポート範囲]443[送信先] は Amazon S3 ゲートウェイエンドポイントのマネージドプレフィックスリストの ID である s3-prefix-list-id となるルールを作成します。プレフィックスのリストと Amazon S3 ゲートウェイエンドポイントの詳細については、Amazon VPC ドキュメントの「Gateway endpoints for Amazon S3」をご参照ください。

    例:

    タイプ プロトコル ポート範囲 デスティネーション

    すべての TCP

    TCP

    0~65535

    database-sg-id

    HTTPS

    TCP

    443

    s3-prefix-list-id