翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 高度なエンドポイント設定
AWS Database Migration Service (AWS DMS) でエンドポイントの詳細設定を行い、移行プロセス中のソースエンドポイントとターゲットエンドポイントの動作の制御を設定できます。高度なセットアップの一環として、 AWS DMS VPC ピアリングを設定してVPCs 間の安全な通信、インバウンドトラフィックとアウトバウンドトラフィックを制御する DMS セキュリティグループ、セキュリティの追加レイヤーとしての Newtwork Access Control List (NACLs)、 AWS Secrets Manager の VPC エンドポイントを有効にできます。
これらの設定は、エンドポイントの作成時に設定することも、後で AWS DMS コンソールまたは API を使用して変更することもできます。これにより、特定のデータベースエンジンの要件とパフォーマンスのニーズに基づいて移行プロセスを微調整できます。
以下で、エンドポイント設定についてご参照ください。
**Topics**
+ [の VPC ピアリング設定 AWS DMS。](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [のセキュリティグループ設定 AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [のネットワークアクセスコントロールリスト (NACL) 設定 AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [AWS DMS シークレットマネージャー VPC エンドポイントの設定](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [その他の考慮事項](#CHAP_secretsmanager.additionalconsiderations)
# の VPC ピアリング設定 AWS DMS。
VPC ピアリングにより、2 つの VPC 間のプライベートネットワーク接続が可能になり、 AWS DMS レプリケーションインスタンスとデータベースエンドポイントが同じネットワークにあるかのように異なる VPC 間で通信できるようになります。これは、DMS レプリケーションインスタンスが 1 つの VPC に存在し、ソースデータベースまたはターゲットデータベースが別々の VPC に存在する場合に重要です。これにより、パブリックインターネットを経由することなく、直接的で安全なデータ移行が可能になります。
Amazon RDS を使用する場合は、インスタンスが異なる VPC にある場合、DMS と RDS 間の VPC ピアリングを設定する必要があります。
以下のステップを必ず実行します。
**VPC ピアリング接続の作成**
1. [[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) に移動します。
1. ナビゲーションペインの **[仮想プライベートクラウド]** で **[ピアリング接続]** を選択します。
1. **[ピアリング接続の作成]** をクリックします。
1. ピアリング接続を設定します。
+ 名前タグ (オプション): ピアリング接続の名前を入力します (例: `DMS-RDS-Peering`)。
**[VPC リクエスタ]**: DMS インスタンスが含まれている VPC を選択します。
+ **[VPC アクセプタ]**: RDS インスタンスが含まれている VPC を選択します。
**注記**
アクセプタ VPC が別の AWS アカウントに関連付けられている場合は、そのアカウントのアカウント ID と VPC ID が必要です。
1. **[ピアリング接続の作成]** をクリックします。
**VPC ピアリング接続を承認する**
1. **[ピアリング接続]** リストで、**[承認待ち]** ステータスの新しいピアリング接続を見つけます。
1. 適切なピアリング接続を選択し、**[アクション]** をクリックして **[リクエストの承諾]** を選択します。
ピアリング接続のステータスが **[アクティブ]** に変更されます。
**ルートテーブルの更新**
VPC 間のトラフィックを有効にするには、両方の VPC のルートテーブルを更新する必要があります。DMS VPC のルートテーブルを更新するには:
1. RDS VPC の CIDR ブロックを特定します。
1. VPC に移動し、RDS VPC を選択します。
1. **[CIDR]** タブで IPv4 CIDR 値をコピーします。
1. リソースマップを使用して、関連する DMS ルートテーブルを特定します。
1. VPC に移動し、DMS VPC を選択します。
1. **[リソースマップ]** タブをクリックし、DMS インスタンスが配置されているサブネットに関連付けられたルートテーブルを書き留めます。
1. DMS VPC 内のすべてのルートテーブルを更新します。
1. [[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) でルートテーブルに移動します。
1. DMS VPC 用に識別するルートテーブルを選択します。テーブルは VPC の **[リソースマップ]** タブから開くことができます。
1. **[ルートの編集]** をクリックします。
1. [ルールの追加] を選択し、次の情報を入力します。
+ **送信先**: RDS VPC の IPv4 CIDR ブロックを入力します (例: `10.1.0.0/16`)。
+ **ターゲット**: ピアリング設定 ID を選択します (例: `pcx-1234567890abcdef`)。
1. **[ルートの保存]** をクリックします。
VPC ルートは DMS VPC に保存されます。RDS VPC に対して同じ手順を実行します。
**セキュリティグループの更新**
1. DMS インスタンスのセキュリティグループを検証します。
1. アウトバウンドルールで RDS インスタンスへのトラフィックが許可されていることを確認する必要があります。
+ **タイプ**: カスタム TCP または特定のデータベースポート (例: 3306 fir MySQL)。
+ **送信先**: RDS VPC の CIDR ブロックまたは RDS インスタンスのセキュリティグループ。
1. RDS インスタンスのセキュリティグループを確認します。
1. インバウンドルールで DMS インスタンスからのトラフィックが許可されていることを確認する必要があります。
+ **タイプ**: 特定のデータベースポート。
+ ソース: DMS VPC の CIDR ブロック、または RDS インスタンスのセキュリティグループ。
**注記**
また、以下を実行する必要があります。
**アクティブピアリング接続**: 続行する前に、VPC ピアリング接続が **[アクティブ]** 状態であることを確認します。
**リソースマップ**: [[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) の **[リソースマップ]** タブを使用して、更新が必要なルートテーブルを特定します。
**重複する CIDR ブロックがない**: VPC には重複しない CIDR ブロックが必要です。
**セキュリティのベストプラクティス**: セキュリティグループのルールを必要なポートとソースに保管します。
詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[VPC ピアリング接続](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)」を参照してください。
# のセキュリティグループ設定 AWS DMS
のセキュリティグループは、適切なデータベースポートでレプリケーションインスタンスのインバウンド接続とアウトバウンド接続を許可 AWS DMS する必要があります。Amazon RDS を使用している場合は、インスタンスの DMS と RDS の間にセキュリティグループを設定する必要があります。
以下のステップを必ず実行します。
**RDS インスタンスのセキュリティグループを設定します。**
1. [[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) に移動します。
1. 左側のナビゲーションペインの **[セキュリティ]** で、**[セキュリティグループ]** を選択します。
1. RDS インスタンスに関連付けられている RDS セキュリティグループを選択します。
1. インバウンドのルールを編集します。
1. **[アクション]** と **[インバウンドルールを編集]** の順にクリックします。
1. **[ルールの追加]** をクリックして、新しいルールを作成します。
1. ルールを次のように設定します。
+ **タイプ**: データベースタイプを選択します (例: ポート 3306 の場合は MySQL/Aurora、ポート 5432 の場合は PostgreSQL)。
+ **プロトコル**: データベースタイプに基づいて自動入力されます。
+ **ポート範囲**: データベースタイプに基づいて自動入力されます。
+ **ソース**: **[カスタム]** を選択し、DMS インスタンスに関連付けられたセキュリティグループ ID を貼り付けます。これにより、そのセキュリティグループ内の任意のリソースからのトラフィックが許可されます。DMS インスタンスの IP 範囲 (CIDR ブロック) を指定することもできます。
1. **[ルールの保存]** をクリックします。
**DMS レプリケーションインスタンスのセキュリティグループを設定します。**
1. [[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) に移動します。
1. 左側のナビゲーションペインの **[セキュリティ]** で、**[セキュリティグループ]** を選択します。
1. **[セキュリティグループ]** リストで、DMS レプリケーションインスタンスに関連付けられているセキュリティグループを見つけて選択します。
1. アウトバウンドルールを編集します。
1. **[アクション]** をクリックし、**[アウトバウンドルールの編集]** をクリックします。
1. **[ルールの追加]** をクリックして、新しいルールを作成します。
1. ルールを次のように設定します。
+ タイプ: データベースタイプを選択します (例: MySQL/Aurora、PostgreSQL)。
+ プロトコル: データベースタイプに基づいて自動入力されます。
+ ポート範囲: データベースタイプに基づいて自動入力されます。
+ ソース: **[カスタム]** を選択し、RDS インスタンスに関連付けられたセキュリティグループ ID を貼り付けます。これにより、そのセキュリティグループ内の任意のリソースからのトラフィックが許可されます。RDS インスタンスの IP 範囲 (CIDR ブロック) を指定することもできます。
1. **[ルールの保存]** をクリックします。
## 追加の考慮事項
次の追加の設定情報を考慮する必要があります。
+ **セキュリティグループリファレンスを使用する**: ソースインスタンスまたはターゲットインスタンスでセキュリティグループを参照すると、動的管理が可能になり、グループ内のすべてのリソースが自動的に含まれるため、IP アドレスを使用するよりも安全です。
+ **データベースポート**: データベースに対し正しいポートを使用していることを確認します。
+ **セキュリティのベストプラクティス**: セキュリティリスクを最小限に抑えるために必要なポートのみを開きます。また、セキュリティグループのルールを定期的に見直して、セキュリティ標準と要件を満たしていることを確認する必要があります。
# のネットワークアクセスコントロールリスト (NACL) 設定 AWS DMS
Amazon RDS をレプリケーションソースとして使用する場合は、DMS および RDS インスタンスのネットワークアクセスコントロールリスト (NACL) を更新する必要があります。NACL が、これらのインスタンスが存在するサブネットに関連付けられていることを確認します。これにより、特定のデータベースポートでのインバウンドトラフィックとアウトバウンドトラフィックが許可されます。
ネットワークアクセスコントロールリストを更新するには、以下のステップを必ず実行します。
**注記**
DMS インスタンスと RDS インスタンスが同じサブネットにある場合は、そのサブネットの NACL を更新するだけです。
**関連する NACL を識別します**
1. [[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) に移動します。
1. 左側のナビゲーションメニューの **[セキュリティ]** で、**Network ACL** を選択します。
1. DMS インスタンスと RDS インスタンスが存在するサブネットに関連付けられた関連する NACL を選択します。
**DMS インスタンスサブネット用の NACL を更新する**
1. DMS インスタンスのサブネットに関連付けられている NACL を識別します。これを行うには、[[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) でサブネットを参照し、DMS サブネットを見つけて、関連する NACL ID を書き留めます。
1. インバウンドのルールを編集します。
1. 選択した NACL の **[インバウンドルール]** タブをクリックします。
1. **[Edit inbound rules]** (インバウンドルールを編集) を選択します。
1. 新しいルールを追加します。
+ **ルール \$1**: 一意の数値を選択します (例: 100)。
+ **タイプ**: **[カスタム TCP ルール]** を選択します。
+ [**Protocol**]: TCP
+ **ポート範囲**: データベースポートを入力します (例: MySQL の場合は 3306)。
+ **ソース**: RDS サブネットの CIDR ブロックを入力します (例: 10.1.0.0/16)。
+ **許可/拒否**: **[許可]** を選択します。
1. アウトバウンドルールを編集します。
1. 選択した NACL の **[アウトバウンドルール]** タブをクリックします。
1. **[アウトバウンドルールの編集]** をクリックします。
1. 新しいルールを追加します。
+ **ルール \$1**: インバウンドルールで使用されるものと同じ番号を使用します。
+ **タイプ:** すべてのトラフィック。
+ **送信先**: 0.0.0.0/0
+ **許可/拒否**: **[許可]** を選択します。
1. [**Save changes (変更の保存)**] をクリックします。
1. RDS インスタンスのサブネットに関連付けられた NACL を更新するには、同じステップを実行します。
## NACL ルールを検証する
NACL ルールに関する次の基準を確認する必要があります。
+ **ルールの順序**: NACL は、ルール番号に基づいた昇順でルールを処理します。「**許可**」として設定されたすべてのルールのルール番号が、「**拒否**」として設定されたすべてのルール番号より小さいことを確認してください (トラフィックをブロックする可能性があるため)。
+ **ステートレスな性質**: NACL はステートレスです。インバウンドトラフィックとアウトバウンドトラフィックの両方を明示的に許可する必要があります。
+ **CIDR ブロック**: 使用する CIDR ブロックが DMS インスタンスと RDS インスタンスのサブネットを正確に表していることを確認する必要があります。
# AWS DMS シークレットマネージャー VPC エンドポイントの設定
プライベートサブネットのレプリケーションインスタンスから AWS Secrets Manager にアクセスするには、VPC エンドポイントを作成する必要があります。これにより、レプリケーションインスタンスはパブリックインターネット経由でトラフィックを送信せずに、プライベートネットワーク経由で Secrets Manager に直接アクセスできます。
設定するには、以下のステップを実行する必要があります。
**VPC エンドポイントのセキュリティグループを作成します。**
1. [[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) に移動します。
1. 左のナビゲーションペインで **[セキュリティグループ]**、**[セキュリティグループの作成]** の順に選択します。
1. セキュリティグループを設定する。
+ **セキュリティグループの名前**: 例: `SecretsManagerEndpointSG`
+ **説明**: 適切な説明を入力します。(例: Secrets Manager VPC エンドポイントのセキュリティグループ)。
+ **VPC**: レプリケーションインスタンスとエンドポイントが存在する VPC を選択します。
1. **[ルールの追加]** をクリックして、インバウンドルールを以下のように設定します。
+ タイプ: HTTPS (シークレットマネージャーはポート 443 で HTTPS を使用するため)。
+ ソース: **[カスタム]** を選択し、レプリケーションインスタンスのセキュリティグループ ID を入力します。これにより、そのセキュリティグループに関連付けられたすべてのインスタンスが VPC エンドポイントにアクセスできるようになります。
1. 変更を確認し、**[セキュリティグループの作成]** をクリックします。
**Secrets Manager の VPC エンドポイントを作成するには**
**注記**
「*Amazon Virtual Private Cloud ユーザーガイド*」の「[インターフェイスエンドポイントの作成ドキュメント](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」トピックの概要通り、インターフェイス VPC エンドポイントを作成します。この手順を実行するときは、以下を確認してください。
**[サービスカテゴリ]** で、**[AWS のサービス]** を選択します。
**[サービス名]** で、`seretsmanager` を検索してシークレットマネージャーサービスを選択します。
1. **[VPC とサブネット]** を選択し、以下を設定します。
+ **VPC**: レプリケーションインスタンスと同じ VPC であることを確認します。
+ **サブネット**: レプリケーションインスタンスが存在するサブネットを選択します。
1. **[追加設定]** で、インターフェイスエンドポイントの **[DNS 名の有効化]** が有効 (デフォルト値) になっていることを確認します。
1. **[セキュリティグループ]** で、適切なセキュリティグループ名を選択します。例: `SecretsManagerEndpointSG` (以前に作成済み)。
1. すべての設定を確認し、**[エンドポイントの作成]** をクリックします。
**VPC エンドポイントの DNS 名を取得する**
1. VPC エンドポイントの詳細にアクセスします。
1. [[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) に移動し、**[エンドポイント]** を選択します。
1. 作成したエンドポイントを選択します。
1. DNS 名をコピーします。
1. **[詳細]** タブで、**[DNS 名]** セクションに移動します。
1. リストされた最初の DNS 名をコピーします。(例: `vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`)。これはリージョナル DNS 名です。
**DMS エンドポイントを更新する**
1. [[AWS DMSコンソール]](https://console.aws.amazon.com/dms/v2) に移動します。
1. DMS エンドポイントを変更します。
1. 左のナビゲーションペインで **[エンドポイント]** を選択します。
1. 設定したい適度なエンドポイントを選択します。
1. **[アクション]** をクリックし、**[修正]** を選択します。
1. エンドポイントサービスを設定する
1. **[エンドポイント設定]** に移動し、**[エンドポイント接続属性を使用する]**チェックボックスを選択します。
1. **[接続属性]** フィールドに `secretsManagerEndpointOverride=` を追加します。
**注記**
複数の接続属性がある場合は、セミコロン「;」で区切ることができます。例: `datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. **[エンドポイントの変更]** をクリックして変更を保存します。
## その他の考慮事項
次の追加の設定情報を考慮する必要があります。
**レプリケーションインスタンスのセキュリティグループ:**
+ レプリケーションインスタンスに関連付けられたセキュリティグループが、ポート 443 (HTTPS) の VPC エンドポイントへのアウトバウンドトラフィックを許可していることを確認します。
**VPC DNS 設定:**
+ VPC で **[DNS 解決]** と **[DNS ホットネーム]** が有効になっていることを確認します。これにより、インスタンスは VPC エンドポイントの DNS 名を解決できます。[[Amazon VPC コンソール]](https://console.aws.amazon.com/vpc/) で VPC に移動し、VPC を選択して **[DNS 解決]** と **[DNS ホットネーム]** が「**はい**」に設定されていることを確認します。
**接続をテストします。**
+ レプリケーションインスタンスから以下の DNS ルックアップを実行して、VPC エンドポイントを確実に解決できます: `nslookup secretsmanager.amazonaws.com` VPC エンドポイントに関連付けられた IP アドレスを返す必要があります