VPC 内の DB インスタンスへのアクセスを制御する - Amazon Timestream
セキュリティグループのシナリオVPC セキュリティグループを作成するDB インスタンスとの関連付け

Amazon Timestream for LiveAnalytics に類似した機能をご希望の場合は Amazon Timestream for InfluxDB をご検討ください。リアルタイム分析に適した、シンプルなデータインジェストと 1 桁ミリ秒のクエリ応答時間を特徴としています。詳細については、こちらを参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC 内の DB インスタンスへのアクセスを制御する

Amazon Virtual Private Cloud (Amazon VPC) を使用すると、Amazon Timestream for InfluxDB DB インスタンスなどの AWS リソースを Virtual Private Cloud (VPC) に起動できます。 InfluxDB Amazon VPC を使用する場合、仮想ネットワーキング環境を制御できます。独自の IP アドレスの範囲を選択し、サブネットを作成してルーティングおよびアクセスコントロールリストを設定できます。

VPC セキュリティグループは、VPC 内の DB インスタンスへのアクセスを制御します。VPC セキュリティグループの各ルールにより、その VPC セキュリティグループに関連付けられている VPC 内の DB インスタンスへのアクセスを特定のソースに許可できます。ソースとしては、アドレスの範囲 (203.0.113.0/24 など) または別の VPC セキュリティグループを指定できます。VPC セキュリティグループをソースとして指定すると、ソース VPC セキュリティグループを使用するすべてのインスタンス (通常はアプリケーションサーバー) からの受信トラフィックを許可することになります。DB インスタンスに接続する前に、お客様のユースケース用に VPC を設定します。以下は、VPC の DB インスタンスにアクセスするための以下の一般的なシナリオです。

VPC 内の DB インスタンスに同じ VPC 内の Amazon EC2 インスタンスからアクセスする

VPC 内の DB インスタンスの一般的な用途は、同じ VPC 内の EC2 インスタンスで実行されるアプリケーションサーバーとデータを共有することです。EC2 インスタンスは、DB インスタンスと対話するアプリケーションでウェブサーバーを実行することがあります。

別の VPC の EC2 インスタンスによってアクセスされる VPC の DB インスタンス

DB インスタンスが、それへのアクセスに使用している EC2 インスタンスとは異なる VPC にある場合があります。その場合は、VPC ピアリングを使用して DB インスタンスにアクセスできます。

インターネット経由でクライアントアプリケーションがアクセスする VPC 内の DB インスタンス

インターネット経由でクライアントアプリケーションから VPC 内の DB インスタンスにアクセスするには、単一のパブリックサブネットを持つ VPC を設定し、そのパブリックサブネットを使用して DB インスタンスを作成します。また、インターネット経由での通信を可能にするため、その VPC にインターネットゲートウェイを設定します。VPC の外部から DB インスタンスに接続するには、DB インスタンスがパブリックにアクセスできる必要があります。また、DB インスタンスのセキュリティグループのインバウンドルールを使用してアクセスを許可し、その他の要件を満たしている必要があります。

VPC セキュリティグループの詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「セキュリティグループを使用して AWS リソースへのトラフィックを制御する」を参照してください。

Timestream for InfluxDB の DB インスタンスに接続する方法の詳細については、「Amazon Timestream for InfluxDB の DB インスタンスへの接続」を参照してください。

セキュリティグループのシナリオ

VPC 内の DB インスタンスの一般的な用途は、同じ VPC 内の Amazon EC2 インスタンスで実行され、VPC の外にあるクライアントアプリケーションによってアクセスされるアプリケーションサーバーとデータを共有することです。このシナリオでは、 AWS マネジメントコンソール の Timestream for InfluxDB および VPC のページ、または Timestream for InfluxDB および EC2 API のオペレーションを使用して、必要なインスタンスとセキュリティグループを作成します。

  1. VPC セキュリティグループ (「sg-0123ec2example」など) を作成し、ソースとしてクライアントアプリケーションの IP アドレスを使用するという受信ルールを定義します。このセキュリティグループにより、クライアントアプリケーションは、このセキュリティグループを使用する VPC 内の EC2 インスタンスに接続できるようになります。

  2. アプリケーションの EC2 インスタンスを作成し、前のステップで作成した VPC セキュリティグループ (「sg-0123ec2example」) に EC2 インスタンスを追加します。

  3. 2 つ目の VPC セキュリティグループ (「sg-6789rdsexample」など) を作成し、ステップ 1 で作成した VPC セキュリティグループ (「sg-0123ec2example」) をソースとして指定して新しいルールを作成します。

  4. 新しい DB インスタンスを作成し、前のステップで作成した VPC セキュリティグループ (「sg-6789rdsexample」) に追加します。DB を作成するときは、ステップ 3 で作成した VPC セキュリティグループ (sg-6789rdsexample) ルールに指定したものと同じポート番号を使用します。

VPC セキュリティグループを作成する

DB インスタンスの VPC セキュリティグループは、VPC コンソールを使って作成できます。セキュリティグループの作成方法の詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「VPC 用のセキュリティグループを作成するには」を参照してください。

セキュリティグループを DB インスタンスと関連付ける

Timestream for InfluxDB の DB インスタンスを作成すると、それらを新しいセキュリティグループに関連付けることができなくなります。現時点では、これらの設定の変更がサポートされていないためです。