の VPC エンドポイントの設定 AWS DMS - AWS データベース移行サービス
一般的な AWS DMS 前提条件AWS Secrets Manager で Amazon VPC エンドポイントを設定するAmazon S3 で Amazon VPC エンドポイントを設定するAmazon DynamoDB 用の Amazon VPC エンドポイントのセットアップAmazon Kinesis 用の Amazon VPC エンドポイントのセットアップAmazon Redshift 用の Amazon VPC エンドポイントのセットアップAmazon OpenSearch Service の Amazon VPC エンドポイントのセットアップDMS レプリケーションインスタンス (プロビジョニングおよびサーバーレス)、サブネットグループ、エンドポイントAWS DMS バージョン 3.4.7 以降に移行すると、誰が影響を受けますか?AWS DMS バージョン 3.4.7 以降に移行するときに影響を受けないのは誰ですか?DMS AWS バージョン 3.4.7 以降への移行の準備

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の VPC エンドポイントの設定 AWS DMS

AWS DMS は、ソースとターゲットとして Amazon Virtual Private Cloud (VPC) エンドポイントをサポートします。 AWS DMS は、これらの AWS ソースデータベースとターゲットデータベースへの明示的に定義されたルートが VPC で定義されている限り、Amazon VPC エンドポイントを使用して任意のソースデータベースまたはターゲットデータベースに接続できます AWS DMS 。

Amazon VPC エンドポイントをサポートすることで、 AWS DMS はネットワーク設定やセットアップを追加することなく、すべてのレプリケーションタスクのend-to-endのネットワークセキュリティを簡単に維持できます。すべてのソースエンドポイントとターゲットエンドポイントに VPC エンドポイントを使用すると、すべてのトラフィックを確実に VPC 内に維持し、コントロールできます。

プライベートサブネットまたは AWS DMS サーバーレス AWS DMS レプリケーションで作成されたレプリケーションインスタンスを AWS マネージドデータベースに接続するには、Amazon VPC エンドポイントを設定する必要があります。

  • Amazon S3

  • Amazon DynamoDB

  • Amazon Kinesis

  • Amazon Redshift

  • Amazon OpenSearch Service

AWS Secrets Manager を使用して DMS が使用する接続認証情報を保存する場合は、VPC エンドポイントも設定する必要があります。

AWS DMS バージョン 3.4.7 以降、プライベートネットワークを使用する場合、DMS レプリケーションインスタンスまたはサーバーレスレプリケーションと上記の Amazon サービス間の接続を確立するには、VPC エンドポイントが必要です。

一般的な AWS DMS 前提条件

VPC エンドポイントを設定する前に、次の前提条件を満たす必要があります。

  • AWS DMS レプリケーションインスタンスまたはサーバーレスレプリケーションで使用する VPC を見つけて AWS DMS 作成します。この情報を指定しない場合、DMS はセットアップされているリージョンでデフォルトの VPC の使用を試みます。

  • VPC エンドポイントを作成するための IAM アクセス許可があることを確認します。Amazon S3 と Amazon DynamoDB に接続するには、VPC にインターネットゲートウェイや NAT デバイスを使用せずに、信頼性の高い接続を提供するゲートウェイ VPC エンドポイントを作成できます。ゲートウェイエンドポイントは、他のタイプの VPC エンドポイントとは異なり、 AWS PrivateLink を使用しません。詳細については、AWS 「 PrivateLink ガイド」の「ゲートウェイエンドポイント」を参照してください。

  • DMS を使用するように IAM アクセス許可を設定します。

AWS Secrets Manager で Amazon VPC エンドポイントを設定する

AWS Secrets Manager が動作するように Amazon VPC エンドポイントを設定できます AWS DMS。このエンドポイントを作成することで、プライベートサブネットの AWS DMS レプリケーションインスタンスまたはサーバーレスレプリケーション設定を有効にして、パブリックインターネットアクセスを必要とせずに Secrets Manager に保存されているデータベース認証情報に安全にアクセスできます。

前提条件

で AWS Secrets Manager を使用して VPC エンドポイントを設定する前に AWS DMS、次の前提条件を満たす必要があります。

  • 必ずすべての を設定してください一般的な AWS DMS 前提条件

  • 接続するソースデータベースまたはターゲットデータベースを作成して設定します。

  • ソースデータベースとターゲットデータベースにアクセスするための認証情報を使用して Secrets Manager でシー AWS クレットを作成します。シークレットは、 AWS DMS レプリケーションインスタンスまたは AWS DMS サーバーレスレプリケーションと同じリージョンに配置する必要があります。データベースタイプによっては、シークレットのスキーマが異なる場合があります。詳細については、AWS DMS 「エンドポイントの使用」を参照してください。

    重要

    AWS DMS レプリケーションインスタンスと AWS DMS サーバーレスレプリケーションは、Amazon RDS によって管理されるシークレットでは機能しません。これらの認証情報には、接続を確立 AWS DMS するために が必要とするホストおよびポート情報は含まれません。

  • DMS エンドポイントを管理するための IAM アクセス許可の設定は、Amazon S3、Amazon Kinesis、Amazon DynamoDB、Amazon Redshift、Amazon OpenSearch Service、Amazon Neptune、Amazon Timestream などのデータベースで必要です。詳細については、AWS DMS 「エンドポイントの使用」を参照してください。

AWS Secrets Manager の VPC エンドポイントを作成する

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. VPC コンソールのメニューバーで、レプリケーションインスタンス AWS リージョン と同じ AWS DMS を選択します。

  3. VPC ナビゲーションペインで[エンドポイント] を選択します。

  4. [エンドポイント] を選択して、[エンドポイントを作成] をクリックします。

  5. VPC エンドポイントを次のように設定します。

    1. Type as AWS Services を選択します。

    2. サービス名テキストボックスで、com.amazonaws.[region].secretsmanager を検索secretsmanagerして選択します。選択したサービスのタイプインターフェイスであることを確認します。

    3. ネットワーク設定で、DMS レプリケーションインスタンスと同じリージョンで実行されている VPC、またはサーバーレスレプリケーションを作成した VPC を選択します。

    4. Subnets セクションで、DMS が動作するサブネットを選択します。プライベートサブネットのみを選択してください。プライベートサブネットは、サブネット ID で識別できます。例: vpc-xxxxxx-subnet-private1-us-west-2a

      DMS レプリケーションインスタンスがパブリックアクセスなしで作成されている場合は、レプリケーションインスタンスが存在するプライベートサブネットに関連付けられたルートテーブルを選択する必要があります。

      注記

      DMS レプリケーションサブネットグループの作成時に指定する必要があるため、プライベートサブネットを必ず書き留めてください。VPC エンドポイントを使用して DMS を AWS Secrets Manager に接続するには、VPC エンドポイントに指定されたサブネットが DMS レプリケーションサブネットグループのサブネットと同じである必要があります。

    5. 目的のセキュリティグループを選択します。セキュリティグループルールは、VPC 内のリソースからエンドポイントネットワークインターフェイスへのトラフィックを制御します。セキュリティグループを指定しない場合、デフォルトのセキュリティグループが選択されます。

  6. ポリシーフルアクセスを選択します。カスタムポリシーを使用して独自のアクセスコントロールを指定する場合は、カスタム を選択します。JSON ポリシードキュメント に準拠した信頼ポリシーを使用できますdms-vpc-role。詳細については、「 で使用する IAM ロールの作成 AWS DMS」を参照してください。

  7. エンドポイントの作成を選択します。

    ステータスが になるまで待つ必要がありますAvailable。VPC エンドポイントに で始まる ID が追加されましたvpce-xxxx

これで、VPC エンドポイントが正常に作成されました。 AWS DMS エンドポイント、DMS サブネットグループを設定する必要があります。選択した移行オプションに応じて、DMS レプリケーションインスタンスまたはサーバーレスレプリケーションを設定します。

Amazon S3 で Amazon VPC エンドポイントを設定する

Amazon S3 が動作するように Amazon VPC エンドポイントを設定できます AWS DMS。このエンドポイントを作成することで、プライベートサブネットの AWS DMS レプリケーションインスタンスまたはサーバーレスレプリケーション設定を有効にして、パブリックインターネットアクセスを必要とせずに S3 バケットに保存されているデータベース認証情報に安全にアクセスできます。

前提条件

で Amazon S3 を使用して VPC エンドポイントを設定する前に AWS DMS、次の前提条件を満たす必要があります。

  • 必ずすべての を設定してください一般的な AWS DMS 前提条件

  • ソースデータベースhttps://docs.aws.amazon.com/dms/latest/userguide/CHAP_Introduction.Sources.htmlまたはターゲットデータベースとして使用する Amazon S3 バケットを作成します AWS DMS。S3 のバージョニングを有効にしないでください。S3 のバージョニングが必要な場合は、ライフサイクルポリシーを使用して古いバージョンを積極的に削除します。それ以外の場合、S3 リストオブジェクト呼び出しのタイムアウトが原因でエンドポイントテスト接続が失敗する可能性があります。

  • DMS Amazon S3 エンドポイントを管理するための IAM アクセス許可を設定します。 AWS DMS コンソールを使用している場合、IAM ロールを作成するアクセス許可がある場合は、必要なアクセス許可を持つ IAM ロールを作成できます。

Amazon S3 の VPC エンドポイントを作成する

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. VPC コンソールのメニューバーで、レプリケーションインスタンス AWS リージョン と同じ AWS DMS を選択します。

  3. VPC ナビゲーションペインで[エンドポイント] を選択します。

  4. [エンドポイント] を選択して、[エンドポイントを作成] をクリックします。

  5. VPC エンドポイントを次のように設定します。

    1. Type as AWS Services を選択します。

    2. サービス名テキストボックスで、com.amazonaws.[region].s3 を検索s3して選択します。選択したサービスのタイプGateway であることを確認します。Amazon S3 および DynamoDB に接続するときに、ゲートウェイ VPC エンドポイントを作成できます。ゲートウェイエンドポイントは、他のタイプの VPC エンドポイントとは異なり、 AWS PrivateLink を使用しません。

    3. ネットワーク設定で、DMS レプリケーションインスタンスと同じリージョンで実行されている VPC、またはサーバーレスレプリケーションを作成した VPC を選択します。

    4. Subnets セクションで、DMS が動作するサブネットを選択します。プライベートサブネットのみを選択してください。プライベートサブネットは、サブネット ID で識別できます。例: vpc-xxxxxx-subnet-private1-us-west-2a

      注記

      パブリックアクセスなしで DMS レプリケーションインスタンスを作成した場合は、DMS インスタンスと同じリージョンにあるプライベートサブネットに関連付けられたルートテーブルを選択する必要があります。DMS レプリケーションサブネットグループの作成時に指定する必要があるため、プライベートサブネットを必ず書き留めてください。VPC エンドポイントを使用して DMS を Amazon S3 に接続するには、VPC エンドポイントに指定されたサブネットが DMS レプリケーションサブネットグループのサブネットと同じである必要があります。

  6. ポリシーフルアクセスを選択します。カスタムポリシーを使用して独自のアクセスコントロールを指定する場合は、カスタム を選択します。JSON ポリシードキュメント に準拠した信頼ポリシーを使用できますdms-vpc-role。詳細については、「 で使用する IAM ロールの作成 AWS DMS」を参照してください。

  7. エンドポイントの作成を選択します。

    ステータスが になるまで待つ必要がありますAvailable。VPC エンドポイントに で始まる ID が追加されましたvpce-xxxx

これで、VPC エンドポイントが正常に作成されました。 AWS DMS エンドポイント、DMS サブネットグループを設定する必要があります。選択した移行オプションに応じて、DMS レプリケーションインスタンスまたはサーバーレスレプリケーションを設定します。

Amazon DynamoDB 用の Amazon VPC エンドポイントのセットアップ

プライベートサブネットまたは AWS DMS サーバーレス AWS DMS レプリケーションでレプリケーションインスタンスを使用する場合は、VPC エンドポイントを作成して、Amazon DynamoDB との安全な接続を確立する必要があります。VPC エンドポイント設定がない場合、 は接続エラー AWS DMS を表示します。

VPC エンドポイントを作成するときは、DMS コンソールでゲートウェイまたはインターフェイスとしてエンドポイントタイプを選択する必要があります。詳細については、以下を参照してください。

Amazon Kinesis 用の Amazon VPC エンドポイントのセットアップ

プライベートサブネットまたは AWS DMS サーバーレス AWS DMS レプリケーションでレプリケーションインスタンスを使用する場合は、VPC エンドポイントを作成して、Amazon Kinesis との安全な接続を確立する必要があります。VPC エンドポイント設定がない場合、 は接続エラー AWS DMS を表示します。詳細については、以下を参照してください。

Amazon Redshift 用の Amazon VPC エンドポイントのセットアップ

プライベートサブネットまたは AWS DMS サーバーレス AWS DMS レプリケーションでレプリケーションインスタンスを使用する場合は、VPC エンドポイントを作成して、Amazon Redshift との安全な接続を確立する必要があります。VPC エンドポイント設定がないと、 は接続エラー AWS DMS を表示します。詳細については、以下を参照してください。

Amazon OpenSearch Service の Amazon VPC エンドポイントのセットアップ

プライベートサブネットまたは AWS DMS サーバーレス AWS DMS レプリケーションでレプリケーションインスタンスを使用する場合は、VPC エンドポイントを作成して、Amazon OpenSearch Service との安全な接続を確立する必要があります。VPC エンドポイント設定がないと、 は接続エラー AWS DMS を表示します。詳細については、以下を参照してください。

レプリケーションインスタンス、DMS サブネットグループ、DMS エンドポイントのセットアップ

VPC エンドポイントの作成後に AWS DMS レプリケーションリソースを設定する必要があります。ネットワーク分離用のレプリケーションサブネットグループ、処理用のレプリケーションインスタンスまたはサーバーレスレプリケーション、ソースデータベースとターゲットデータベースに接続するためのエンドポイントを設定して、VPC 内での安全なデータベース移行を実現できます。

レプリケーションインスタンスのセットアップ AWS DMS

AWS DMS プロビジョニングされたレプリケーションインスタンスを設定するには、DMS レプリケーションサブネットグループを設定する必要があります。

DMS レプリケーションサブネットグループを作成する

  1. にサインイン AWS Management Console し、DMS コンソールを開きます。

  2. 左側のナビゲーションペインから、「サブネットグループ」を開き、「サブネットグループの作成」を選択します。

  3. 名前説明を入力します。

  4. VPC ドロップダウンメニューから、DMS レプリケーションインスタンスを作成するリージョンと同じリージョンで実行されている VPC を選択します。

  5. サブネットの追加ドロップダウンメニューから、VPC エンドポイントの作成時に指定したプライベートサブネットを追加します。プライベートサブネットは、サブネット ID で識別できます。例: vpc-xxxxxx-subnet-private1-us-west-2a

  6. サブネットグループの作成 をクリックします。

DMS レプリケーションインスタンスを作成する (プロビジョニング済み)

  1. に移動 AWS Management Console してレプリケーションインスタンスを作成します。詳細については、「レプリケーションインスタンスの作成」を参照してください。レプリケーションインスタンスの選択、サイズ設定、設定の詳細については、「レAWS DMS プリケーションインスタンスの使用」を参照してください。

  2. 接続とセキュリティセクションで、レプリケーションインスタンスを作成する IPv4 またはデュアルスタックモードの仮想プライベートクラウド (VPC) から VPC AWS DMS を選択します。 詳細については、「レプリケーションインスタンスのネットワークのセットアップ」を参照してください。

  3. レプリケーションサブネットグループのドロップダウンメニューから、レプリケーションインスタンス用に作成したサブネットグループを選択します。

    注記

    VPC エンドポイントに指定されたサブネットが、DMS レプリケーションインスタンスサブネットグループのサブネットと同じであることを確認します。VPC エンドポイントに関連付けられていないサブネットをサブネットグループから削除する必要があります。

  4. パブリックアクセスチェックボックスをオフにして、パブリックアクセスを無効にします。

  5. 詳細設定セクションの VPC セキュリティグループのドロップダウンメニューから、レプリケーションインスタンスに関連付けられているすべての VPC サブネットグループを選択します。これらのグループには、VPC エンドポイントの作成時に指定したサブネットを含むサブネットグループを含める必要があります。

    サブネットグループを指定しない場合、DMS はデフォルトのレプリケーションサブネットグループを選択するか、存在しない場合は作成します。詳細については、「 のセキュリティグループ設定 AWS DMS」を参照してください。

  6. レプリケーションインスタンスの設定を完了し、レプリケーションインスタンスの作成を選択します。

    ステータスが になるまで待つ必要がありますAvailable

AWS DMS ソースエンドポイントとターゲットエンドポイントを作成する

  1. DMS コンソールにサインインします。

  2. AWS DMS エンドポイントに移動し、エンドポイントの作成を選択します。

  3. ソースエンドポイントとターゲットエンドポイントを作成して設定します。

  4. DMS コンソールでは、既存の IAM ロールを選択するか、新しい IAM ロールを作成して、 AWS Secrets Manager に保存されているデータベース認証情報にアクセスできます。

  5. Run test をクリックして、DMS レプリケーションインスタンスのエンドポイント接続をテストします。レプリケーションインスタンスには、テストを実行するAvailableステータスが必要です。

  6. エンドポイントの作成を選択します。

AWS DMS サーバーレスレプリケーションのセットアップ

AWS DMS サーバーレスレプリケーションを設定するには、DMS レプリケーションサブネットグループを設定する必要があります。

AWS DMS ソースエンドポイントとターゲットエンドポイントを作成する

  1. DMS コンソールにサインインします。

  2. AWS DMS エンドポイントに移動し、エンドポイントの作成を選択します。

  3. ソースエンドポイントとターゲットエンドポイントを作成して設定します。

  4. DMS コンソールでは、既存の IAM ロールを選択するか、新しい IAM ロールを作成して、 AWS Secrets Manager に保存されているデータベース認証情報にアクセスできます。

    注記

    AWS DMS サーバーレスレプリケーションの場合、DMS エンドポイントの接続をテストしたり、 TestConnection API を使用したりすることはできません。接続テストは、DMS インスタンスとソース/ターゲットデータベース間のサーバーレスレプリケーションの起動中に実行されます。詳細については、AWS DMS 「サーバーレスコンポーネント」を参照してください。

  5. エンドポイントの作成を選択します。

DMS レプリケーションサブネットグループを作成する

  1. にサインイン AWS Management Console し、DMS コンソールを開きます。

  2. 左側のナビゲーションペインから、「サブネットグループ」を開き、「サブネットグループの作成」を選択します。

  3. 名前説明を入力します。

  4. VPC ドロップダウンメニューから、DMS サーバーレスインスタンスと同じリージョンで実行されている VPC を選択します。

  5. サブネットの追加ドロップダウンメニューから、VPC エンドポイントの作成時に指定したプライベートサブネットを追加します。プライベートサブネットは、サブネット ID で識別できます。例: vpc-xxxxxx-subnet-private1-us-west-2a

  6. サブネットグループの作成 をクリックします。

DMS サーバーレスレプリケーションを作成する

  1. DMS コンソールに移動して、サーバーレスインスタンスを作成します。詳細については、「サーバーレスレプリケーションの作成」を参照してください。サーバーレスインスタンスの選択、サイズ設定、設定の詳細については、AWS DMS 「サーバーレスの使用」を参照してください。

  2. 接続とセキュリティセクションで、 AWS DMS サーバーレスインスタンス を作成する仮想プライベートクラウド (VPC) ドロップダウンメニューから VPC を選択します。詳細については、「レプリケーションインスタンスのネットワークのセットアップ」を参照してください。

  3. サブネットグループドロップダウンメニューから、サーバーレスインスタンス用に作成したサブネットグループを選択します。

    注記

    VPC エンドポイントに指定されたサブネットが、DMS サーバーレスインスタンスサブネットグループのサブネットと同じであることを確認します。サーバーレスインスタンスに関連付けられていないサブネットは、サブネットグループから削除する必要があります。

  4. アベイラビリティーゾーンを選択します。

  5. 最大 DMS 容量ユニット (DCU) ドロップダウンメニューから、目的の DCU 容量を選択します。

  6. タスクの作成 を選択します。これにより、 ステータスのタスクリストに表示される DMS サーバーレスレプリケーション設定が作成されますStart required

  7. サーバーレスレプリケーションを開始するには、タスクを選択し、アクションメニューから開始を選択します。

AWS DMS バージョン 3.4.7 以降に移行すると、誰が影響を受けますか?

前述の AWS DMS エンドポイントを 1 つ以上使用していて、これらのエンドポイントがパブリックにルーティングできないか、VPC エンドポイントが既に関連付けられていない場合、影響を受けます。

AWS DMS バージョン 3.4.7 以降に移行するときに影響を受けないのは誰ですか?

次の場合は影響を受けません。

  • 以前にリストした AWS DMS エンドポイントを 1 つ以上使用していない。

  • 前述のエンドポイントのいずれかを使用しており、パブリックにルーティング可能です。

  • 上記のエンドポイントのいずれかを使用しており、VPC エンドポイントに関連付けられている。

DMS AWS バージョン 3.4.7 以降への移行の準備

前述のエンドポイントのいずれかを使用しているときに DMS タスクの失敗を防ぐには、 AWS DMS AWS をバージョン 3.4.7 以降にアップグレードする前に、次のいずれかの手順を実行します。

  • 影響を受ける AWS DMS エンドポイントをパブリックにルーティング可能にします。たとえば、DMS レプリケーションインスタンスで既に使用されている VPC AWS にインターネットゲートウェイ (IGW) ルートを追加して、すべてのソースエンドポイントとターゲットエンドポイントをパブリックにルーティングできるようにします。

  • 次の説明のとおり、 AWS DMS が使用するすべてのソースエンドポイントとターゲットエンドポイントにアクセスする VPC エンドポイントを作成します。

DMS ソースエンドポイントとターゲットエンドポイントに使用する既存の VPC AWS エンドポイントについては、XML ポリシードキュメント に準拠する信頼ポリシーを使用していることを確認してくださいdms-vpc-role。このポリシーの詳細については、「で使用する IAM ロールの作成 AWS DMS」を参照してください。

上記以外には、レプリケーションインスタンスが配置された VPC に VPC エンドポイントを追加して、レプリケーションインスタンスを VPC エンドポイントとして設定する方法があります。パブリックエンドポイントなしでレプリケーションインスタンスを設定した場合、パブリックにアクセス可能な VPC エンドポイントをレプリケーションインスタンスを含む VPC に追加すると、パブリックにアクセスできるようになります。レプリケーションインスタンスを VPC エンドポイントと明確に関連付けるための作業は特にありません。

注記

サービスごとに固有の VPC エンドポイント設定がある場合があります。例えば、 AWS Secrets Managerを使用する場合、ルーティングテーブルを調整する必要は通常ありません。各サービスの具体的な要件を必ず確認します。

DMS レプリケーションインスタンスの VPC AWS エンドポイントの設定の詳細については、「」を参照してくださいデータベース移行のネットワーク設定。 AWS サービスにアクセスするためのインターフェイス VPC エンドポイントの作成の詳細については、AWS 「 PrivateLink ガイド」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする」を参照してください。VPC エンドポイント AWS の DMS リージョンの可用性については、AWS リージョン表を参照してください。