の VPC エンドポイントの設定AWS DMS - AWSデータベース移行サービス
一般的なAWS DMS前提条件AWS Secrets Manager で Amazon VPC エンドポイントを設定するAmazon S3 で Amazon VPC エンドポイントを設定するAmazon DynamoDB 向けに Amazon VPC エンドポイントを設定Amazon Kinesis 向けに Amazon VPC エンドポイントを設定Amazon Redshift 向けに Amazon VPC エンドポイントを設定Amazon OpenSearch Service 向けに Amazon VPC エンドポイントを設定DMS レプリケーションインスタンス (プロビジョニングおよびサーバーレス)、サブネットグループ、エンドポイントAWS DMS バージョン 3.4.7 以降への移行で影響を受けるケースとは?AWS DMSバージョン 3.4.7 以降に移行するときに影響を受けないのは誰ですか?DMS AWSバージョン 3.4.7 以降への移行の準備

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の VPC エンドポイントの設定AWS DMS

AWS DMSは、ソースとターゲットとして Amazon Virtual Private Cloud (VPC) エンドポイントをサポートします。AWS DMS は、これらのAWSソースデータベースとターゲットデータベースへの明示的に定義されたルートが VPC で定義されている限り、Amazon VPC エンドポイントを使用して任意のソースデータベースまたはターゲットデータベースに接続できますAWS DMS。

Amazon VPC エンドポイントをサポートAWS DMSすることで、 はネットワーク設定やセットアップを追加することなく、すべてのレプリケーションタスクのend-to-endのネットワークセキュリティを簡単に維持できます。すべてのソースエンドポイントとターゲットエンドポイントに VPC エンドポイントを使用すると、すべてのトラフィックを確実に VPC 内に維持し、コントロールできます。

プライベートサブネットまたはAWS DMSサーバーレスAWS DMSレプリケーションで作成されたレプリケーションインスタンスをAWSマネージドデータベースに接続するには、Amazon VPC エンドポイントを設定する必要があります。

  • Amazon S3

  • Amazon DynamoDB

  • Amazon Kinesis

  • Amazon Redshift

  • Amazon OpenSearch Service

AWSSecrets Manager を使用して DMS が使用する接続認証情報を保存する場合は、VPC エンドポイントも設定する必要があります。

AWS DMSバージョン 3.4.7 以降、プライベートネットワークを使用する場合、DMS レプリケーションインスタンスまたはサーバーレスレプリケーションと上記の Amazon サービス間の接続を確立するには、VPC エンドポイントが必要です。

一般的なAWS DMS前提条件

VPC エンドポイントを設定する前に、次の前提条件を満たす必要があります。

  • AWS DMSレプリケーションインスタンスまたはサーバーレスレプリケーションで使用する VPC を見つけてAWS DMS作成します。この情報が提供されない場合、DMS はセットアップされているリージョンでデフォルトの VPC の使用を試みます。

  • VPC エンドポイントを作成する IAM アクセス許可があることを確認してください。Amazon S3 および Amazon DynamoDB に接続するには、ゲートウェイ VPC エンドポイントを作成することができます。このエンドポイントは、VPC 用のインターネットゲートウェイや NAT デバイスを設定することなく、信頼性の高い接続を提供します。ゲートウェイエンドポイントは、他のタイプの VPC エンドポイントとは異なり、AWSPrivateLink を使用しません。詳細については、「AWS PrivateLink ガイド」の「ゲートウェイエンドポイント」を参照してください。

  • IAM アクセス許可を設定して DMS を使用するには:

    • dms-vpc-role ロールを設定する。詳細については、「AWS 管理ポリシー: AmazonDMSVPCManagementRole」を参照してください。

    • dms-cloudwatch-logs-role ロールを設定する。詳細については、「AWS 管理ポリシー: AmazonDMSCloudWatchLogsRole」を参照してください。

    • AWS DMSServerless では、サービスにリンクされたロール (SLR) がアカウントに存在する必要があります。 は、このロールの作成と使用AWS DMSを管理します。必要な SLR があることを確認する方法の詳細については、「サービスがリンク済みの AWS DMS Serverless 用ロール」を参照してください。レプリケーションを作成すると、AWS DMSServerless は Serverless サービスにリンクされたロールをプログラムで作成します。このロールは IAM コンソールで確認できます。

AWS Secrets Manager で Amazon VPC エンドポイントを設定する

AWSSecrets Manager が動作するように Amazon VPC エンドポイントを設定できますAWS DMS。このエンドポイントを作成することで、プライベートサブネットのAWS DMSレプリケーションインスタンスまたはサーバーレスレプリケーション設定を有効にして、パブリックインターネットアクセスを必要とせずに Secrets Manager に保存されているデータベース認証情報に安全にアクセスできます。

前提条件

で AWSSecrets Manager を使用して VPC エンドポイントを設定する前にAWS DMS、次の前提条件を満たす必要があります。

  • 必ずすべての 一般的なAWS DMS前提条件 を設定してください。

  • 接続するソースデータベースまたはターゲットデータベースを作成して設定する。

  • ソースデータベースとターゲットデータベースにアクセスするための認証情報を使用して Secrets Manager でシーAWSクレットを作成します。シークレットは、AWS DMSレプリケーションインスタンスまたはAWS DMSサーバーレスレプリケーションと同じリージョンに配置する必要があります。データベースタイプによっては、シークレットのスキーマが異なる場合があります。詳細については、AWS DMS「エンドポイントの使用」を参照してください。

    重要

    AWS DMSレプリケーションインスタンスとAWS DMSサーバーレスレプリケーションは、Amazon RDS によって管理されるシークレットでは機能しません。これらの認証情報には、接続を確立AWS DMSするために が必要とするホストおよびポート情報は含まれません。

  • 一部のデータベース (Amazon S3、Amazon Kinesis、Amazon DynamoDB、Amazon Redshift、Amazon OpenSearch Service、Amazon Neptune、Amazon Timestream など) では、DMS エンドポイントを管理する IAM アクセス許可が必要です。詳細については、AWS DMS「エンドポイントの使用」を参照してください。

AWSSecrets Manager の VPC エンドポイントを作成する

  1. にサインインAWS マネジメントコンソールし、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. VPC コンソールのメニューバーで、レプリケーションインスタンスAWS リージョンと同じ AWS DMSを選択します。

  3. VPC ナビゲーションペインで[エンドポイント] を選択します。

  4. [エンドポイント] を選択して、[エンドポイントを作成] をクリックします。

  5. VPC エンドポイントを次のように設定します。

    1. [AWS サービス][タイプ] を選択します。

    2. [サービス名] テキストボックスで secretsmanager を検索して、[com.amazonaws.[リージョン].secretsmanager] を選択します。選択したサービスの [タイプ][インターフェイス] であることを確認します。

    3. [ネットワーク設定]で、DMS レプリケーションインスタンスと同じリージョンで実行されている VPC か、サーバーレスレプリケーションを作成した VPC を選択します。

    4. [サブネット] セクションで、DMS が動作する希望のサブネットを選択します。プライベートサブネットのみを選択してください。プライベートサブネットは、サブネット ID で識別できます。例: vpc-xxxxxx-subnet-private1-us-west-2a

      DMS レプリケーションインスタンスがパブリックアクセスなしで作成されている場合は、レプリケーションインスタンスが存在するプライベートサブネットに関連付けられたルートテーブルを選択する必要があります。

      注記

      DMS レプリケーションサブネットグループの作成時に指定する必要があるため、必ずプライベートサブネットを書き留めておいてください。VPC エンドポイントを使用して DMS を AWSSecrets Manager に接続するには、VPC エンドポイントに指定されたサブネットが DMS レプリケーションサブネットグループのサブネットと同じである必要があります。

    5. 目的の [セキュリティグループ] を選択します。セキュリティグループは、VPC のリソースからエンドポイントネットワークインターフェイスへのトラフィックを制御します。セキュリティグループを指定しない場合、デフォルトのセキュリティグループが選択されます。

  6. [ポリシー][フルアクセス] を選択します。カスタムポリシーを使用して独自のアクセスコントロールを指定する場合は、[カスタム] を選択します。JSON ポリシードキュメント dms-vpc-role に準拠する信頼ポリシーを使用できます。詳細については、「AWS DMS で使用するIAM ロールの作成」を参照してください。

  7. [エンドポイントの作成] を選択します。

    ステータスが Available になるまで待つ必要があります。VPC エンドポイントの ID が vpce-xxxx で開始されるようになりました。

VPC エンドポイントが正常に作成されました。AWS DMSエンドポイント、DMS サブネットグループを設定する必要があります。選択した移行オプションに応じて、DMS レプリケーションインスタンスまたはサーバーレスレプリケーションを設定します。

Amazon S3 で Amazon VPC エンドポイントを設定する

Amazon S3 が動作するように Amazon VPC エンドポイントを設定できますAWS DMS。このエンドポイントを作成することで、プライベートサブネットのAWS DMSレプリケーションインスタンスまたはサーバーレスレプリケーション設定を有効にして、パブリックインターネットアクセスを必要とせずに S3 バケットに保存されているデータベース認証情報に安全にアクセスできます。

前提条件

で Amazon S3 を使用して VPC エンドポイントを設定する前にAWS DMS、次の前提条件を満たす必要があります。

  • 必ずすべての 一般的なAWS DMS前提条件 を設定してください。

  • ソースデータベースまたはターゲットデータベースとして使用する Amazon S3 バケットを作成しますAWS DMS。S3 のバージョニングは有効化しないでください。S3 のバージョニングが必要な場合は、ライフサイクルポリシーを使用して古いバージョンを積極的に削除します。削除しない場合、S3 一覧オブジェクトの呼び出しタイムアウトが原因でエンドポイント接続テストが失敗する可能性があります。

  • DMS Amazon S3 エンドポイントを管理する IAM アクセス許可を設定します。AWS DMS コンソールを使用している場合、IAM ロールを作成するアクセス許可がある場合は、必要なアクセス許可を持つ IAM ロールを作成できます。

Amazon S3 の VPC エンドポイントを作成する

  1. にサインインAWS マネジメントコンソールし、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. VPC コンソールのメニューバーで、レプリケーションインスタンスAWS リージョンと同じ AWS DMSを選択します。

  3. VPC ナビゲーションペインで[エンドポイント] を選択します。

  4. [エンドポイント] を選択して、[エンドポイントを作成] をクリックします。

  5. VPC エンドポイントを次のように設定します。

    1. [AWS サービス][タイプ] を選択します。

    2. [サービス名] テキストボックスで「s3」を検索し、[com.amazonaws.[リージョン].s3] を選択します。選択したサービスの [タイプ][ゲートウェイ] であることを確認します。Amazon S3 および DynamoDB への接続時に、ゲートウェイ VPC エンドポイントを作成できます。ゲートウェイエンドポイントは、他のタイプの VPC エンドポイントとは異なり、AWS PrivateLink を使用しません。

    3. [ネットワーク設定]で、DMS レプリケーションインスタンスと同じリージョンで実行されている VPC か、サーバーレスレプリケーションを作成した VPC を選択します。

    4. [サブネット] セクションで、DMS が動作する希望のサブネットを選択します。プライベートサブネットのみを選択してください。プライベートサブネットは、サブネット ID で識別できます。例: vpc-xxxxxx-subnet-private1-us-west-2a

      注記

      DMS レプリケーションインスタンスをパブリックアクセスなしで作成した場合は、DMS インスタンスと同じリージョンに存在するプライベートサブネットに関連付けられたルートテーブルを選択する必要があります。DMS レプリケーションサブネットグループの作成時に指定する必要があるため、必ずプライベートサブネットを書き留めておいてください。VPC エンドポイントを使用して DMS を Amazon S3 に接続するには、VPC エンドポイントに指定されたサブネットが DMS レプリケーションサブネットグループのサブネットと同じである必要があります。

  6. [ポリシー][フルアクセス] を選択します。カスタムポリシーを使用して独自のアクセスコントロールを指定する場合は、[カスタム] を選択します。JSON ポリシードキュメント dms-vpc-role に準拠する信頼ポリシーを使用できます。詳細については、「AWS DMS で使用するIAM ロールの作成」を参照してください。

  7. [エンドポイントの作成] を選択します。

    ステータスが Available になるまで待つ必要があります。VPC エンドポイントの ID が vpce-xxxx で開始されるようになりました。

VPC エンドポイントが正常に作成されました。AWS DMSエンドポイント、DMS サブネットグループを設定する必要があります。選択した移行オプションに応じて、DMS レプリケーションインスタンスまたはサーバーレスレプリケーションを設定します。

Amazon DynamoDB 向けに Amazon VPC エンドポイントを設定

プライベートサブネットまたはAWS DMSサーバーレスAWS DMSレプリケーションでレプリケーションインスタンスを使用する場合は、VPC エンドポイントを作成して、Amazon DynamoDB との安全な接続を確立する必要があります。VPC エンドポイント設定がない場合、 は接続エラーAWS DMSを表示します。

VPC エンドポイントを作成する場合、DMS コンソールで、[エンドポイントタイプ][ゲートウェイ] または [インターフェイス] を選択する必要があります。詳細については、以下を参照してください。

Amazon Kinesis 向けに Amazon VPC エンドポイントを設定

プライベートサブネットまたはAWS DMSサーバーレスAWS DMSレプリケーションでレプリケーションインスタンスを使用する場合は、VPC エンドポイントを作成して、Amazon Kinesis との安全な接続を確立する必要があります。VPC エンドポイント設定がない場合、 は接続エラーAWS DMSを表示します。詳細については、以下を参照してください。

Amazon Redshift 向けに Amazon VPC エンドポイントを設定

プライベートサブネットまたはAWS DMSサーバーレスAWS DMSレプリケーションでレプリケーションインスタンスを使用する場合は、VPC エンドポイントを作成して、Amazon Redshift との安全な接続を確立する必要があります。VPC エンドポイント設定がない場合、 は接続エラーAWS DMSを表示します。詳細については、以下を参照してください。

Amazon OpenSearch Service 向けに Amazon VPC エンドポイントを設定

プライベートサブネットまたはAWS DMSサーバーレスAWS DMSレプリケーションでレプリケーションインスタンスを使用する場合は、VPC エンドポイントを作成して、Amazon OpenSearch Service との安全な接続を確立する必要があります。VPC エンドポイント設定がない場合、 は接続エラーAWS DMSを表示します。詳細については、以下を参照してください。

レプリケーションインスタンス、DMS サブネットグループ、DMS エンドポイントを設定

VPC エンドポイントの作成後にAWS DMSレプリケーションリソースを設定する必要があります。ネットワーク分離用のレプリケーションサブネットグループ、処理用のレプリケーションインスタンスまたはサーバーレスレプリケーション、ソースデータベースとターゲットデータベースに接続するためのエンドポイントを設定して、VPC 内の安全なデータベース移行を実現できます。

AWS DMS レプリケーションインスタンスの設定

AWS DMSプロビジョニングされたレプリケーションインスタンスを設定するには、DMS レプリケーションサブネットグループを設定する必要があります。

DMS レプリケーション サブネットグループの作成

  1. にサインインAWS マネジメントコンソールし、DMS コンソールを開きます。

  2. 左側のナビゲーションペインで、[サブネットグループ] を開き、[サブネットグループの作成] を選択します。

  3. [名前][説明] を入力します。

  4. [VPC] ドロップダウンメニューから、DMS レプリケーションインスタンスを作成するリージョンと同じリージョンで実行されている VPC を選択します。

  5. [サブネットの追加] ドロップダウンメニューから、VPC エンドポイントの作成時に指定したプライベートサブネットを追加します。プライベートサブネットは、サブネット ID で識別できます。例: vpc-xxxxxx-subnet-private1-us-west-2a

  6. [サブネットグループの作成] をクリックします。

DMS レプリケーションインスタンスを作成する (プロビジョニング済み)

  1. に移動AWS マネジメントコンソールしてレプリケーションインスタンスを作成します。詳細については、「レプリケーション インスタンスの作成」をご参照ください。レプリケーションインスタンスの選択、サイズ設定、設定の詳細については、「レAWS DMSプリケーションインスタンスの使用」を参照してください。

  2. [接続とセキュリティ] セクションで、[IPv4 の仮想プライベートクラウド (VPC)] または [デュアルスタックモード] から AWS DMS レプリケーションインスタンスを作成する VPC を選択します。詳細については、「レプリケーションインスタンスのネットワークを設定する」を参照してください。

  3. [レプリケーションサブネットグループ] のドロップダウンメニューから、レプリケーションインスタンス用に作成したサブネットグループを選択します。

    注記

    VPC エンドポイントに指定されたサブネットが、DMS レプリケーションインスタンスサブネットグループのサブネットと同じであることを確認します。VPC エンドポイントに関連付けられていないサブネットをサブネットグループから削除する必要があります。

  4. [パブリックアクセス] チェックボックスをオフにして、パブリックアクセスを無効にします。

  5. [詳細設定] セクションで、[VPC セキュリティグループ] のドロップダウンメニューから、レプリケーションインスタンスに関連付けられているすべての VPC サブネットグループを選択します。これらのグループには、VPC エンドポイントの作成時に指定したサブネットを含むサブネットグループを含める必要があります。

    サブネットグループを指定しない場合、DMS はデフォルトの [レプリケーションサブネットグループ] を選択します (サブネットグループが存在しない場合は作成します)。詳細については、「AWS DMS のセキュリティグループの設定」を参照してください。

  6. レプリケーションインスタンスの設定を完了し、[レプリケーションインスタンスの作成] を選択します。

    ステータスが Available になるまで待つ必要があります。

AWS DMSソースエンドポイントとターゲットエンドポイントを作成する

  1. DMS コンソール にサインインします。

  2. [AWS DMS エンドポイント] に移動し、[エンドポイントの作成] を選択します。

  3. ソースエンドポイントとターゲットエンドポイントを作成し、接続をテストします。

  4. DMS コンソールでは、既存の IAM ロールを選択するか、新しい IAM ロールを作成して、AWSSecrets Manager に保存されているデータベース認証情報にアクセスできます。

  5. [テストを実行] をクリックして、DMS レプリケーションインスタンスのエンドポイント接続をテストします。レプリケーションインスタンスには、テストを実行する Available ステータスが必要です。

  6. [エンドポイントの作成] を選択します。

AWS DMSサーバーレスレプリケーションのセットアップ

AWS DMSサーバーレスレプリケーションを設定するには、DMS レプリケーションサブネットグループを設定する必要があります。

AWS DMSソースエンドポイントとターゲットエンドポイントを作成する

  1. DMS コンソール にサインインします。

  2. [AWS DMS エンドポイント] に移動し、[エンドポイントの作成] を選択します。

  3. ソースエンドポイントとターゲットエンドポイントを作成し、接続をテストします。

  4. DMS コンソールでは、既存の IAM ロールを選択するか、新しい IAM ロールを作成して、AWSSecrets Manager に保存されているデータベース認証情報にアクセスできます。

    注記

    AWS DMSサーバーレスレプリケーションの場合、DMS エンドポイントの接続をテストしたり、 TestConnection API を使用したりすることはできません。接続テストは、DMS インスタンスとソースとターゲットデータベース間のサーバーレスレプリケーションの起動中に実行されます。詳細については、「AWS DMS サーバーレスコンポーネント」を参照してください。

  5. [エンドポイントの作成] を選択します。

DMS レプリケーション サブネットグループの作成

  1. にサインインAWS マネジメントコンソールし、DMS コンソールを開きます。

  2. 左側のナビゲーションペインで、[サブネットグループ] を開き、[サブネットグループの作成] を選択します。

  3. [名前][説明] を入力します。

  4. [VPC] ドロップダウンメニューから、DMS サーバーレスインスタンスと同じリージョンで実行されている VPC を選択します。

  5. [サブネットの追加] ドロップダウンメニューから、VPC エンドポイントの作成時に指定したプライベートサブネットを追加します。プライベートサブネットは、サブネット ID で識別できます。例: vpc-xxxxxx-subnet-private1-us-west-2a

  6. [サブネットグループの作成] をクリックします。

DMS サーバーレスレプリケーションの作成

  1. DMS コンソールに移動して、サーバーレスインスタンスを作成します。詳細については、「サーバーレスレプリケーションの作成」を参照してください。サーバーレスインスタンスの選択、サイズ設定、設定の詳細については、AWS DMS「サーバーレスの使用」を参照してください。

  2. 接続とセキュリティセクションで、AWS DMSサーバーレスインスタンス を作成する仮想プライベートクラウド (VPC) ドロップダウンメニューから VPC を選択します。詳細については、「レプリケーションインスタンスのネットワークを設定する」を参照してください。

  3. [サブネットグループ] ドロップダウンメニューから、サーバーレスインスタンス用に作成したサブネットグループを選択します。

    注記

    VPC エンドポイントに指定されたサブネットが、DMS サーバーレスインスタンスサブネットグループのサブネットと同じであることを確認します。サーバーレスインスタンスに関連付けられていないサブネットは、サブネットグループから削除する必要があります。

  4. [アベイラビリティーゾーン] を選択します。

  5. [最大 DMS 容量ユニット (DCU)] ドロップダウンメニューから、目的の DCU 容量を選択します。

  6. [タスクの作成] を選択します。この操作で、ステータス Start required のタスクリストに表示される DMS サーバーレスレプリケーション設定が作成されます。

  7. サーバーレスレプリケーションを開始するには、タスクを選択し、[アクション] メニューから [開始] を選択します。

AWS DMS バージョン 3.4.7 以降への移行で影響を受けるケースとは?

上記の単一または複数の AWS DMS エンドポイントを使用しており、エンドポイントがパブリックにルーティング可能ではない場合、または VPC エンドポイントがまだ関連付けられていない場合は影響を受けます。

AWS DMSバージョン 3.4.7 以降に移行するときに影響を受けないのは誰ですか?

次の場合は影響を受けません。

  • 前述のAWS DMSエンドポイントを 1 つ以上使用していない。

  • 上記のエンドポイントのいずれかを使用しており、エンドポイントがパブリックにルーティング可能である。

  • 上記のエンドポイントのいずれかを使用しており、VPC エンドポイントに関連付けられている。

DMS AWSバージョン 3.4.7 以降への移行の準備

前述のエンドポイントのいずれかを使用しているときに DMS タスクの失敗を防ぐには、AWSDMS AWSをバージョン 3.4.7 以降にアップグレードする前に、次のいずれかの手順を実行します。

  • 影響を受ける AWSDMS エンドポイントをパブリックにルーティングできるようにします。たとえば、DMS レプリケーションインスタンスで既に使用されている VPC AWSにインターネットゲートウェイ (IGW) ルートを追加して、すべてのソースエンドポイントとターゲットエンドポイントをパブリックにルーティングできるようにします。

  • 次の説明のとおり、AWS DMS が使用するすべてのソースエンドポイントとターゲットエンドポイントにアクセスする VPC エンドポイントを作成します。

DMS ソースエンドポイントとターゲットエンドポイントに使用する既存の VPC AWSエンドポイントについては、XML ポリシードキュメント に準拠する信頼ポリシーを使用していることを確認してくださいdms-vpc-role。このポリシーの詳細については、「で使用する IAM ロールの作成AWS DMS」を参照してください。

上記以外には、レプリケーションインスタンスが配置された VPC に VPC エンドポイントを追加して、レプリケーションインスタンスを VPC エンドポイントとして設定する方法があります。パブリックエンドポイントなしでレプリケーションインスタンスを設定した場合、パブリックにアクセス可能な VPC エンドポイントをレプリケーションインスタンスが配置された VPC に追加すると、パブリックにアクセスできるようになります。レプリケーションインスタンスを VPC エンドポイントと明確に関連付けるための作業は特にありません。

注記

サービスごとに固有の VPC エンドポイント設定がある場合があります。例えば、AWS Secrets Manager を使用する場合、ルーティングテーブルを調整する必要は通常ありません。各サービスの具体的な要件を必ず確認します。

DMS レプリケーションインスタンスの VPC AWSエンドポイントの設定の詳細については、「」を参照してくださいデータベース移行のネットワーク設定。AWSサービスにアクセスするためのインターフェイス VPC エンドポイントの作成の詳細については、AWS「 PrivateLink ガイド」の「インターフェイス VPC エンドポイントを使用して AWSサービスにアクセスする」を参照してください。VPC エンドポイントAWSの DMS リージョンの可用性については、AWSリージョン表を参照してください。