JDBC データストアに接続するための VPC の設定 - AWS Glue

JDBC データストアに接続するための VPC の設定

AWS Glue コンポーネントが通信できるようにするには、Amazon Redshift や Amazon RDS などのデータストアへのアクセスを設定する必要があります。AWS Glue がコンポーネント間で通信できるようにするには、すべての TCP ポートに対して自己参照のインバウンドルールを持つセキュリティグループを指定します。自己参照ルールを作成することで、ソースを VPC 内の同じセキュリティグループに制限することができ、ネットワーク全体には公開されません。VPC のデフォルトのセキュリティグループには、すでに ALL Traffic (すべてのトラフィック) の自己参照インバウンドルールがある場合があります。

Amazon Redshift データストアへのアクセスを設定するには

  1. AWS マネジメントコンソールにサインインし、Amazon Redshift コンソール (https://console.aws.amazon.com/redshift/) を開きます。

  2. 左のナビゲーションペインで [Clusters (クラスター)] を選択します。

  3. AWS Glue からアクセスするクラスターの名前を選択します。

  4. [Cluster Properties (クラスターのプロパティ)] セクションで、[VPC security groups (VPC セキュリティグループ)] 内のセキュリティグループを選択し、AWS Glue が使用できるようにします。今後の参照用に選択したセキュリティグループの名前を記録します。セキュリティグループを選択すると、Amazon EC2 コンソールの [セキュリティグループ] の一覧が開きます。

  5. 変更するセキュリティグループを選択し、[Inbound (インバウンド)] タブに移動します。

  6. 自己参照ルールを追加して、AWS Glue コンポーネントが通信できるようにします。具体的には、[Type (タイプ)] All TCP、[Protocol (プロトコル)] は TCP、[Port Range (ポート範囲)] にはすべてのポートが含まれ、[Source (ソース)] は [Group ID (グループ ID)] と同じセキュリティグループ名であるというルールを追加または確認します。

    インバウンドルールは以下のようになります。

    タイプ プロトコル ポート範囲 送信元

    すべての TCP

    TCP

    0–65535

    database-security-group

    例:

    自己参照のインバウンドルールの例。

  7. アウトバウンドトラフィックのルールも追加します。すべてのポートへのアウトバウンドトラフィックを開きます。以下に例を示します。

    タイプ プロトコル ポート範囲 送信先

    すべてのトラフィック

    ALL

    ALL

    0.0.0.0/0

    または、[Type (タイプ)] は All TCP、[Protocol (プロトコル)] は TCP、[Port Range (ポート範囲)] にすべてのポートが含まれ、[Destination (宛先)] は [Group ID (グループ ID)] と同じセキュリティグループ名の自己参照ルールを作成します。Amazon S3 VPC エンドポイントを使用している場合、Amazon S3 アクセス用の HTTPS ルールも追加します。セキュリティグループルールで、VPC から Amazon S3 VPC エンドポイントへのトラフィックを許可するために、s3-prefix-list-id が必要です。

    例:

    タイプ プロトコル ポート範囲 送信先

    すべての TCP

    TCP

    0–65535

    security-group

    HTTPS

    TCP

    443

    s3-prefix-list-id

Amazon RDS データストアへのアクセスを設定するには

  1. AWS マネジメントコンソールにサインインし、Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. 左のナビゲーションペインの [Instances (インスタンス)] を選択します。

  3. AWS Glue からアクセスする Amazon RDS [Engine (エンジン)] と [DB Instance (DB インスタンス)] 名を選択します。

  4. [Instance Actions (インスタンスの操作)] から [See Details (詳細を表示)] を選択します。[詳細] タブで、AWS Glue からアクセスする [セキュリティグループ] を見つけます。今後の参照用にセキュリティグループの名前を記録します。

  5. セキュリティグループを選択して Amazon EC2 コンソールを開きます。

  6. Amazon RDS の [グループ ID] が選択されていることを確認し、[Inbound (インバウンド)] タブを選択します。

  7. 自己参照ルールを追加して、AWS Glue コンポーネントが通信できるようにします。具体的には、[Type (タイプ)] All TCP、[Protocol (プロトコル)] は TCP、[Port Range (ポート範囲)] にはすべてのポートが含まれ、[Source (ソース)] は [Group ID (グループ ID)] と同じセキュリティグループ名であるというルールを追加または確認します。

    インバウンドルールは次のようになります。

    タイプ プロトコル ポート範囲 送信元

    すべての TCP

    TCP

    0–65535

    database-security-group

    例:

    自己参照のインバウンドルールの例。

  8. アウトバウンドトラフィックのルールも追加します。すべてのポートへのアウトバウンドトラフィックを開きます。以下に例を示します。

    タイプ プロトコル ポート範囲 送信先

    すべてのトラフィック

    ALL

    ALL

    0.0.0.0/0

    または、[Type (タイプ)] は All TCP、[Protocol (プロトコル)] は TCP、[Port Range (ポート範囲)] にすべてのポートが含まれ、[Destination (宛先)] は [Group ID (グループ ID)] と同じセキュリティグループ名の自己参照ルールを作成します。Amazon S3 VPC エンドポイントを使用している場合、Amazon S3 アクセス用の HTTPS ルールも追加します。セキュリティグループルールで、VPC から Amazon S3 VPC エンドポイントへのトラフィックを許可するために、s3-prefix-list-id が必要です。

    例:

    タイプ プロトコル ポート範囲 送信先

    すべての TCP

    TCP

    0–65535

    security-group

    HTTPS

    TCP

    443

    s3-prefix-list-id