翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
前提条件: IAM ロールと Amazon S3 アクセス
Amazon Simple Storage Service (Amazon S3) バケットからデータをロードするには、バケットにアクセスできる AWS Identity and Access Management (IAM) ロール。Amazon Neptune はデータをロードするためにこのロールを引き受けます。
Amazon S3 SSE-S3 モードを使用して暗号化されている場合は、Amazon S3 から暗号化されたデータを読み込むことができます。その場合、Neptune はユーザーの認証情報を偽装し、ユーザーに代わって s3:getObject 呼び出しを発行することができます。
また、IAM ロールに AWS KMS にアクセスするために必要なアクセス権限が含まれている限り、SSE-KMS モードを使用して暗号化された Amazon S3 から、暗号化されたデータをロードすることもできます。適切な AWS KMS アクセス権限がない場合、一括ロードオペレーションは失敗し、LOAD_FAILED レスポンスを返します。
Neptune は現在 SSE-C モードを使用して暗号化された Amazon S3 データのロードをサポートしていません。
以下のセクションでは、マネージド IAM ポリシーを使用して Amazon S3 リソースにアクセスするための IAM ロールを作成し、そのロールを Neptune クラスターにアタッチする方法を示します。
トピック
これらの手順では、IAM コンソールにアクセスでき、IAM ロールとポリシーを管理するアクセス許可が必要です。詳細については、 IAM User Guide の AWS マネジメントコンソールで作業するための権限を参照してください。
Amazon Neptune コンソールでは、Neptune クラスターにロールをアタッチする以下の IAM アクセス権限が必要です。
iam:GetAccountSummary on resource: * iam:ListAccountAliases on resource: * iam:PassRole on resource: * with iam:PassedToService restricted to rds.amazonaws.com
Amazon Neptune から Amazon S3 リソースにアクセスすることを許可する IAM ロールの作成
AmazonS3ReadOnlyAccessマネージド IAM ポリシーを使用して、Amazon Neptune が Amazon S3 リソースへアクセス許可の新しい IAM ロールを作成します。
Neptune による Amazon S3 へのアクセスを許可する、新しい &IAM ロールを作成します。
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 ナビゲーションペインで [Roles (ロール) ] を選択します。
[ロールの作成] を選択します。
[AWS のサービス] で [S3] を選択します。
[Next: Permissions] (次のステップ: アクセス許可) を選択します。
-
フィルターボックスを使用して S3 という用語でフィルタリングし、AmazonS3 の横にあるチェックボックスをオンにしますReadOnlyAccess。
注記 このポリシーによって、すべてのバケットに対する
s3:Get*およびs3:List*アクセス許可が付与されます。後の手順では、信頼ポリシーを使用してこのロールへのアクセスを制限します。ローダーに必要なのは、ロード元のバケットに対する
s3:Get*およびs3:List*アクセス権限のみです。したがって、これらのアクセス権限を Amazon S3 リソース別に制限することもできます。S3 バケットが暗号化されている場合には、
kms:Decrypt許可を追加する必要があります。 [Next: Review] (次のステップ: レビュー) を選択します。
[Role Name] (ロール名) を IAM ロールの名前 (例:
NeptuneLoadFromS3) に設定します。オプションの [Role Description] (ロールの説明) 値 (「Allows Neptune to access Amazon S3 resources on your behalf.」など) を追加することもできます。[ロールの作成] を選択します。
ナビゲーションペインで [ロール] を選択します。
[検索] フィールドで、作成したロールの名前を入力し、リストに表示されたらそのロールを選択します。
[Trust Relationships] (信頼関係) タブで、[Edit trust relationship] (信頼関係の編集) を選択します。
-
テキストフィールドに次の信頼ポリシーをコピーして貼り付けます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } [Update trust policy] (信頼ポリシーの更新) を選択します。
Amazon Neptune クラスターに IAM ロールを追加する のステップを完了します。
Amazon Neptune クラスターに IAM ロールを追加する
コンソールを使用して IAM ロールを Amazon Neptune クラスターに追加します。これにより、クラスター内の任意の Neptune DB インスタンスがロールを引き受け、Amazon S3 からロードできるようになります。
Amazon Neptune コンソールでは、Neptune クラスターにロールをアタッチする以下の IAM アクセス権限が必要です。
iam:GetAccountSummary on resource: * iam:ListAccountAliases on resource: * iam:PassRole on resource: * with iam:PassedToService restricted to rds.amazonaws.com
Amazon Neptune クラスターに IAM ロールを追加するには
AWS マネジメントコンソールにサインインして Amazon Neptune コンソール (https://console.aws.amazon.com/neptune/home
) を開きます。 ナビゲーションペインで、[Databases] (データベース) を選択します。
変更するクラスターの横にあるラジオボタンを選択します。
[Actions] (アクション) で、[Manage IAM roles] (IAM ロールの管理) を選択します。
前のセクションで作成したロールを選択します。
[Done] (完了) をクリックします。
IAM ロールがクラスターにアクセスできるようになるまで待ってから、使用します。
Amazon S3 VPC エンドポイントの作成
Neptune ローダーには Amazon S3 の VPC エンドポイントが必要です。
Amazon S3 のアクセスをセットアップするには
AWS Management Console にサインインし、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。
[エンドポイントの作成] を選択します。
-
com.amazonaws.ゲートウェイタイプのエンドポイントのサービス名を選択します。region.s3注記 このリージョンが正しくない場合は、コンソールのリージョンが正しいことを確認してください。
[VPC] で、Neptune DB インスタンスが含まれている VPC を選択します。
クラスターに関連するサブネットに関連付けられているルートテーブルの横にあるチェックボックスをオンにします。ルートテーブルが 1 つだけの場合は、そのボックスを選択する必要があります。
[エンドポイントの作成] を選択します。
エンドポイント作成の詳細については、Amazon VPC ユーザーガイドの VPC エンドポイントを参照してください。VPC エンドポイントの制限については、Amazon S3 の VPC エンドポイントを参照してください。
次のステップ
これで、Amazon S3 バケットへのアクセスが許可され、データをロードする準備ができました。サポートされる形式については、ロードデータ形式 を参照してください。
