在 VPC 連線至 JDBC 資料存放區 - AWS Glue
使用彈性網路介面存取 VPC 資料彈性網路介面屬性

在 VPC 連線至 JDBC 資料存放區

通常,您是在 Amazon Virtual Private Cloud (Amazon VPC) 內部建立資源,因此無法經由公有網際網路進行存取。依預設,AWS Glue 無法存取 VPC 之內的資源。要讓 AWS Glue 存取 VPC 中的資源,您必須提供其他 VPC 特定的組態資訊,包括 VPC 子網路 ID 和安全群組 ID。AWS Glue 會使用此資訊設定彈性網路界面,讓您的函式可安全連接至私有 VPC 中的其他資源。

使用 VPC 端點時,請將其新增至路由表。如需詳細資訊,請參閱 Creating an interface VPC endpoint for AWS Glue先決條件

在資料型錄中使用加密時,建立 KMS 介面端點並將其新增至路由表。如需詳細資訊,請參閱 Creating a VPC endpoint for AWS KMS

使用彈性網路介面存取 VPC 資料

當 AWS Glue 連線至 VPC 中的 JDBC 資料存放區時,AWS Glue 會在您的帳戶中建立彈性網路界面 (加上字首 Glue_) 以存取您的 VPC 資料。只要此網路界面連接至 AWS Glue,您就無法將它刪除。在建立彈性網路界面的過程中,AWS Glue 會讓一個或多個安全群組與其建立關聯。要讓 AWS Glue 建立網路界面,與資源關聯的安全群組必須以來源規則允許傳入存取。此規則包含與資源關聯的安全群組。因此彈性網路界面就能以相同的安全群組存取您的資料存放區。

要讓 AWS Glue 與其元件通訊,請指定一個安全群組並為所有 TCP 連接埠建立自我參考的傳入規則。建立自我參考的規則後,您就可以將資源限制給 VPC 中相同的安全群組,不對所有網路開放。VPC 的預設安全群組可能已經有了 ALL Traffic 的自我參考傳入規則。

您可以在 Amazon VPC 主控台建立規則。要透過 AWS Management Console 更新規則設定,請瀏覽至 VPC 主控台 (https://console.aws.amazon.com/vpc/) 並選取適合的安全群組。指定 ALL TCP 的傳入規則,其來源則為相同的安全群組名稱。如需安全群組規則的詳細資訊,請參閱 VPC 的安全群組

每個彈性網路界面都會指派一個私有 IP 地址,而此地址來自您在子網路中指定的 IP 地址範圍。網路界面不會指派任何公有 IP 地址。AWS Glue 需要網際網路存取 (例如存取無 VPC 端點的 AWS 服務)。您可以在 VPC 中設定網路位址轉譯 (NAT) 執行個體,或使用 Amazon VPC NAT 閘道。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的 NAT 閘道。您無法直接將連接至 VPC 的網際網路閘道做為子網路路由表中的路由使用,原因是網路介面需要公有 IP 地址。

VPC 網路屬性 enableDnsHostnamesenableDnsSupport 必須設定為 true。如需詳細資訊,請參閱以 VPC 使用 DNS

重要

請勿將資料存放區置於公有子網路或是無網際網路存取的私有子網路。反之,請僅將其連接至透過 NAT 執行個體或 Amazon VPC NAT 閘道存取網際網路的私有子網路。

彈性網路介面屬性

要建立彈性網路界面,您必須提供以下屬性:

VPC

包含資料存放區之 VPC 的名稱。

子網路

包含資料存放區之 VPC 的子網路。

安全群組

與資料存放區關聯的安全群組。AWS Glue 將這些安全群組關聯至連接您 VPC 子網路的彈性網路界面。為了允許 AWS Glue 元件能夠通訊並防止從其他網路存取,至少一個選擇的安全群組必須指定適用於所有 TCP 連接埠的自我參考傳入規則。

如需以 Amazon Redshift 管理 VPC 的詳細資訊,請參閱在 Amazon Virtual Private Cloud (VPC) 管理叢集

如需使用 Amazon Relational Database Service (Amazon RDS) 管理 VPC 的詳細資訊,請參閱在 VPC 中使用 Amazon RDS 資料庫執行個體