のデータJDBCストアへの接続 VPC - AWS Glue
Elastic Network Interface を使用したVPCデータへのアクセスElastic Network Interface プロパティ

のデータJDBCストアへの接続 VPC

通常、Amazon Virtual Private Cloud (Amazon VPC) 内にリソースを作成して、パブリックインターネット経由でアクセスできないようにします。デフォルトでは、 AWS Glue は 内のリソースにアクセスできませんVPC。 AWS Glue が 内のリソースにアクセスできるようにするにはVPC、VPCサブネットIDsとセキュリティグループ を含む追加の VPC固有の設定情報を指定する必要がありますIDs。 は、この情報 AWS Glue を使用して、関数がプライベート 内の他のリソースに安全に接続できるようにするElastic Network Interface を設定しますVPC。

VPC エンドポイントを使用する場合は、ルートテーブルに追加します。詳細については、「 および のインターフェイスVPCエンドポイントの作成 AWS Glue」を参照してください前提条件

Data Catalog で暗号化を使用する場合は、KMSインターフェイスエンドポイントを作成し、ルートテーブルに追加します。詳細については、「」を参照してください。 
 のVPCエンドポイントを作成する AWS KMS

Elastic Network Interface を使用したVPCデータへのアクセス

AWS Glue が 内のJDBCデータストアに接続するとVPC、 はVPC、データにアクセスするためのElastic Network Interface (プレフィックス を含むGlue_) をアカウントに AWS Glue 作成します。このネットワークインターフェイスは、 にアタッチされている限り削除できません AWS Glue。Elastic Network Interface の作成の一環として、 は 1 つ以上のセキュリティグループを AWS Glue 関連付けます。 AWS Glue がネットワークインターフェイスを作成できるようにするには、リソースに関連付けられているセキュリティグループが、ソースルールによるインバウンドアクセスを許可する必要があります。このルールには、リソースに関連付けられたセキュリティグループが含まれています。これにより、Elastic Network Interface は同じセキュリティグループを持つデータストアにアクセスできるようになります。

がコンポーネントと通信 AWS Glue できるようにするには、すべてのTCPポートに自己参照インバウンドルールを持つセキュリティグループを指定します。自己参照ルールを作成することで、ソースを 内の同じセキュリティグループに制限VPCし、すべてのネットワークに開放することはできません。のデフォルトのセキュリティグループには、 の自己参照インバウンドルールが既にあるVPC場合がありますALL Traffic

Amazon VPCコンソールでルールを作成できます。経由でルール設定を更新するには AWS Management Console、VPCコンソール (https://console.aws.amazon.com/vpc/) に移動し、適切なセキュリティグループを選択します。ALL TCP のインバウンドルールを指定して、同じセキュリティグループ名をソースとして指定します。セキュリティグループルールの詳細については、「 のセキュリティグループVPC」を参照してください。

それぞれの Elastic Network Interface には、指定したサブネット内の IP アドレス範囲からプライベート IP アドレスが割り当てられます。ネットワークインターフェイスにはパブリック IP アドレスが割り当てられていません。インターネットアクセス AWS Glue が必要です (VPCエンドポイントがない AWS サービスにアクセスするにはなど)。ネットワークアドレス変換 (NAT) インスタンスを 内で設定することもVPC、Amazon VPCNATゲートウェイを使用することもできます。詳細については、「Amazon VPCユーザーガイドNAT」の「ゲートウェイ」を参照してください。にアタッチされたインターネットゲートウェイをサブネットルートテーブルのルートVPCとして直接使用することはできません。これは、ネットワークインターフェイスにパブリック IP アドレスが必要であるためです。

VPC ネットワーク属性 enableDnsHostnamesと は true に設定enableDnsSupportする必要があります。詳細については、「 DNSで を使用するVPC」を参照してください。

重要

インターネットアクセスのないパブリックサブネットまたはプライベートサブネットにデータストアを配置しないでください。代わりに、NATインスタンスまたは Amazon VPCNATゲートウェイを介してインターネットにアクセスできるプライベートサブネットにのみアタッチします。

Elastic Network Interface プロパティ

Elastic Network Interface を作成するには、次のプロパティを指定する必要があります。

VPC

データストアVPCを含む の名前。

サブネット

データストアVPCを含む のサブネット。

セキュリティグループ

データストアに関連付けられているセキュリティグループ。 は、これらのセキュリティグループをVPCサブネットにアタッチされているElastic Network Interface に AWS Glue 関連付けます。 AWS Glue コンポーネントが通信できるようにし、他のネットワークからのアクセスを防ぐには、少なくとも 1 つの選択したセキュリティグループで、すべてのTCPポートに自己参照インバウンドルールを指定する必要があります。

Amazon Redshift VPCでの の管理については、Amazon Virtual Private Cloud でのクラスターの管理 (VPC)」を参照してください。

Amazon Relational Database Service (Amazon RDS) VPCでの の管理については、「 での Amazon RDS DB インスタンスの操作VPC」を参照してください。