翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# VPC での Amazon DocumentDB クラスターへのアクセス
<a name="access-cluster-vpc"></a>

Amazon DocumentDB は、VPC 内のクラスターにアクセスするための以下のシナリオをサポートしています。

**Topics**
+ [同じ VPC 内の Amazon EC2 インスタンス](#access-inside-vpc)
+ [別の VPC 内の Amazon EC2 インスタンス](#access-different-vpc)

## 同じ VPC 内の Amazon EC2 インスタンスがアクセスする、VPC 内のクラスター
<a name="access-inside-vpc"></a>

VPC 内のクラスターの一般的な用途は、同じ VPC 内の Amazon EC2 インスタンスで実行されるアプリケーションサーバーとデータを共有することです。

同じ VPC 内の EC2 インスタンスとクラスター間のアクセスを管理する方法として最も簡単なのは、次の方法です。
+ クラスターが存在する VPC セキュリティグループを作成します。このセキュリティグループを使用して、クラスターへのアクセスを制限できます。例えば、このセキュリティグループのカスタムルールを作成できます。これにより、クラスターを作成したときに割り当てたポートと、開発またはそのほかの目的でクラスターにアクセスするのに使用する IP アドレスを使用して TCP へのアクセスを許可できます。
+ EC2 インスタンス (ウェブサーバーとクライアント) が属する VPC セキュリティグループを作成します。このセキュリティグループは、必要に応じて、VPC のルーティングテーブルを介したインターネットから EC2 インスタンスへのアクセスを許可できます。例えば、ポート 22 経由で EC2 インスタンスへの TCP アクセスを許可するルールをこのセキュリティグループに設定できます。
+ EC2 インスタンス用に作成したセキュリティグループからの接続を許可するクラスターのセキュリティグループで、カスタムルールを作成します。このルールは、セキュリティグループのメンバーにクラスターへのアクセスを許可します。

別のアベイラビリティーゾーンに、追加のパブリックサブネットとプライベートサブネットがあります。DocumentDB サブネットグループには、2 つ以上のアベイラビリティーゾーンにサブネットが必要です。サブネットが追加されたことで、将来的にマルチ AZ クラスター配置に簡単に切り替えることができるようになります。

このシナリオのパブリックとプライベートの両方のサブネットを使用する VPC を作成する方法の手順については、「[DocumentDB クラスターで使用する IPv4-only VPC を作成する](docdb-vpc-create-ipv4.md)」を参照してください。

**ヒント**  
DB クラスターの作成時に、Amazon EC2 インスタンスと DocumentDB クラスター間で自動的にネットワーク接続を設定できるようになります。詳細については、「[Amazon EC2 への自動接続](connect-ec2-auto.md)」を参照してください。

**別のセキュリティグループからの接続を許可する VPC セキュリティグループにルールを作成するには、次の手順を実行します。**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/vpc](https://console.aws.amazon.com//vpc) で Amazon VPC コンソールを開きます。

1. ナビゲーションペインで、**[Security Groups]** (セキュリティグループ) を見つけて選択します。

1. 他のセキュリティグループのメンバーからのアクセスを許可するセキュリティグループを、選択または作成します。これは、クラスターで使用するセキュリティグループです。[**インバウンドルール**] タブを選択してから、[**インバウンドルールの編集**] を選択します。

1. [**インバウンドルールの編集**] ページで、[**ルールの追加**] を選択します。

1. [**タイプ**] では、クラスターの作成時に使用したポートに対応するエントリ ([**カスタム TCP**] など) を選択します。

1. [**ソース**] フィールドで、セキュリティグループの ID の入力をスタートすると、一致するセキュリティグループが一覧表示されます。このセキュリティグループによって保護されているリソースへのアクセスを許可するメンバーが所属しているセキュリティグループを選択します。前述のシナリオで、これは EC2 インスタンス向けに使用するセキュリティグループです。

1. 必要に応じて、[**タイプ**] に [**すべての TCP**] を、[**ソース**] フィールドにお客様のセキュリティグループを指定してルールを作成することで、TCP プロトコルのステップを繰り返します。UDP プロトコルを使用する場合は、[**All UDP**] (すべての UDP) を [**Type**] (タイプ) と [**Source**] (送信元) のセキュリティグループとして使用してルールを作成します。

1. [**ルールの保存**] を選択します。

次の画面には、ソース用のセキュリティグループを含むインバウンドルールが表示されます。

![\[セキュリティグループをソースとするルールを示すインバウンドルールタブ\]](http://docs.aws.amazon.com/ja_jp/documentdb/latest/developerguide/images/inbound-rule-sg.png)


EC2 インスタンスからクラスターに接続する方法の詳細については、「[Amazon EC2 への自動接続](connect-ec2-auto.md)」を参照してください。

## 別の VPC 内の Amazon EC2 インスタンスがアクセスする、VPC 内のクラスター
<a name="access-different-vpc"></a>

クラスターがアクセスに使用している EC2 インスタンスとは異なる VPC にある場合、VPC ピア接続を使用してそのクラスターにアクセスできます。

VPC ピア接続は、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。どちらの VPC のリソースも、同じネットワーク内に存在しているかのように、相互に通信できます。独自の VPC 間、別の AWS アカウントの VPCs、または別の の VPC との VPC ピアリング接続を作成できます AWS リージョン。VPC ピア接続の詳細については、*Amazon Virtual Private Cloud ユーザーガイド*の「[VPC ピア接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html)」を参照してください。