Athenaでのユースカジノ 特徴
ユースカジノ 特徴の閉域化と監視及び接続のセキュア化
(前編)
投稿日: 2025/03/13
1. 概要
AWSアカウント間でデータをやり取りする場合に、大規模環境であればAWS Organizationsの利用が効率的ですが、AWS Organizationsを使わない中規模以下の案件では、簡易的かつできるだけセキュアにユースカジノ 特徴を設計する方法が求められます。また、マネージドサービスであるAmazon SageMakerはインターネットからアクセスして利用しますが、VPC内で閉じてセキュアにしたいという要件もあります。
今回は、SageMakerの閉域化、及び、Amazon Athena、 Amazon SageMaker、 Amazon S3をユースカジノ 特徴する方法をご紹介します。
2. 初期構成
まず、ユースカジノ 特徴Xに初期構成を行います。VPC、サブネット、NATゲートウェイ、インターネットゲートウェイ、ルートテーブルを作成します。
VPC
CIDR: 10.10.16.0/20
サブネット
| サブネット | ネットワーク | 用途 |
|---|---|---|
| パブリックサブネット | 10.10.17.0/24 | NATゲートウェイ |
| プライベートサブネット1 | 10.10.24.0/24 | ユースカジノ 特徴 |
| プライベートサブネット2 | 10.10.25.0/24 | WorkSpaces |
| プライベートサブネット3 | 10.10.26.0/24 | WorkSpaces |
ルートテーブル(パブリックサブネット)
| 送信先 | ターゲット |
|---|---|
| 10.10.16.0/20 | local |
| 0.0.0.0/0 | インターネットゲートウェイ |
ルートテーブル(プライベートサブネット1,2,3)
| 送信先 | ターゲット |
|---|---|
| 10.10.16.0/20 | local |
| 0.0.0.0/0 | NATゲートウェイ |
これで初期構成の構築が完了しました。
3. ユースカジノ 特徴の閉域化
ユースカジノ 特徴 Studioの ノートブックにインターネットアクセスを提供しないようにするには、「VPC onlyネットワークアクセス」を指定してインターネットアクセスを無効にします。これにより、次の条件を満たさない限り、Studio ノートブックを実行できなくなります。
- VPC に ユースカジノ 特徴 API とランタイムへのインターフェイスエンドポイントがある
- インターネットにアクセスできる NAT ゲートウェイがある
- セキュリティグループでアウトバウンド接続が許可されている
https://docs.aws.amazon.com/ja_jp/ユースカジノ 特徴/latest/dg/studio-notebooks-and-internet-access.html
4. ユースカジノ 特徴
Athenaの設計を検討します。Athenaは以下のようにユースカジノ 特徴からデータ取得を行うことができるようにします。
- ① ユースカジノ 特徴配置先をデータソースとしてGlueに登録。
- ② ユースカジノ 特徴内から、データソースを指定してクエリを実行
- ③ ①のAWS Glueのカタログ情報が参照され、ユースカジノ 特徴へ接続
- ④ ユースカジノ 特徴のメタ情報から③に対応するS3バケット内のデータに対してクエリを実施。
- ⑤ ②の結果が、S3バケットからユースカジノ 特徴に返却される
5. ユースカジノ 特徴
ユースカジノ 特徴として、別アカウントYに存在するS3バケットに対してユースカジノ 特徴させたい場合、以下のような経路でデータ取得ができるようにします。
- ユースカジノ 特徴Y(S3)←ユースカジノ 特徴X(Athena)
- ユースカジノ 特徴Y(S3)←ユースカジノ 特徴X(Athena)←ユースカジノ 特徴X(SageMaker)
- ユースカジノ 特徴Y(S3)←ユースカジノ 特徴X(SageMaker)
例えば、ユースカジノ 特徴XのAthena(IAMユーザでログインして操作)、及び、SageMaker(ロールで操作)からユースカジノ 特徴YのS3バケット(s3bucker2222)へ読み取り専用でアクセスさせたい場合には、以下のように構成します。
- ① ユースカジノ 特徴X側で、ユースカジノ 特徴YのS3バケットに対して読み取りアクセスのみが可能なポリシーを作成
- ② ①をIAMユーザ、及び、ロールにアタッチ
- ③ ②のユーザ及びロールの受け入れて許可し、その権限は読み取りアクセスのみとするPrincipal-policyを作成
- ④ ③をユースカジノ 特徴YのS3バケットにアタッチ
- ⑤ AthenaやSageMakerからユースカジノ 特徴を実施
6. 追加構成の構築(その1)
2.初期構成に、3.SageMaker、4.Athena、5.ユースカジノ 特徴を構築していきます。
① ユースカジノ 特徴
ユースカジノ 特徴 Studio Domainのネットワーク設定
ユースカジノ 特徴 Studio DomainをVPCのみモードに設定し、プライベートサブネット1内に設置します。
| ネットワークモード | VPC | サブネット | セキュリティーグループ |
|---|---|---|---|
| 仮想プライベートクラウド (VPC) のみ | 2.初期構成で作成したVPC | プライベートサブネット1 | デフォルトセキュリティーグループ (インバウンド/アウトバウンドともにすべて許可) |
ユースカジノ 特徴 Studioユーザの実行ロール
また、ユースカジノ 特徴 Studio notebookを実行ユーザのロールを以下のように設定します。権限の強いポリシーを割り当てておりますが、必要に応じて、変更を行ってください。
| ポリシー名 | 内容 |
|---|---|
| Amazonユースカジノ 特徴FullAccess | ユースカジノ 特徴に関するフルアクセス |
| Amazonユースカジノ 特徴FullAccess | ユースカジノ 特徴に関するフルアクセス |
| AWSGlueConsoleFullAccess | コンソール経由でのGlueに関するフルアクセス |
| AWSGlueServiceRole | Glueサービスに関するフルアクセス |
以下を参考にして、ユースカジノ 特徴 Studioのnotebookを起動してください。
Amazon ユースカジノ 特徴について調べてみた|伊藤忠テクノソリューションズ
動作確認として、以下のようにパッケージ更新を実行することができれば、プライベートサブネットに配置したユースカジノ 特徴からインターネット経由で通信ができていることが分かります。
import sys
!{sys.executable} -m pip install awswrangler
② S3、ユースカジノ 特徴、VPCエンドポイント
S3にサンプルデータを配置します。次に、ユースカジノ 特徴にそのデータをロケーションとしたデータベースとテーブルを設定し、VPCエンドポイントを設定します。
ユースカジノ 特徴バケットにおけるオブジェクト配置
テスト的に以下のようにオブジェクトを配置します
| バケット名 | ユースカジノ 特徴 URI | オブジェクト名 |
|---|---|---|
| ユースカジノ 特徴bucket-xxxx | ユースカジノ 特徴://ユースカジノ 特徴bucket-xxxx /01_test/parquet/2025/02 | 20250201.parquet |
| ユースカジノ 特徴bucket-xxxx | ユースカジノ 特徴://ユースカジノ 特徴bucket-xxxx /01_test/parquet/2025/02 | 20250202.parquet |
| ユースカジノ 特徴bucket-xxxx | ユースカジノ 特徴://ユースカジノ 特徴bucket-xxxx /01_test/parquet/2025/03 | 20250301.parquet |
ユースカジノ 特徴データベースとテーブルの設定
上記のS3データをユースカジノ 特徴から読み込めるように、データベース名、テーブル名、Locaitonを設定します。
| データベース名 | テーブル名 | Location |
|---|---|---|
| db-xxxx | table2025 | ユースカジノ 特徴://ユースカジノ 特徴bucket-xxxx /01_test/parquet/2025/ |
VPCエンドポイントの設定
ユースカジノ 特徴が閉域であるため、プライベートサブネットからAthenaとS3に対するVPCエンドポイントが必要となるため、その設定をします。
| 対象サブネット | エンドポイント名 | エンドポイントタイプ | サービス名 |
|---|---|---|---|
| プライベートサブネット1,2,3 | xxxx-vpce-ユースカジノ 特徴 | Interface | com.amazonaws.ap-northeast-1.ユースカジノ 特徴 |
| プライベートサブネット1,2,3 | xxxx-vpce-ユースカジノ 特徴 | Gateway | com.amazonaws.ap-northeast-1.ユースカジノ 特徴 |
ルートテーブルの追加(プライベートサブネット1,2,3)
なお、ユースカジノ 特徴のVPCエンドポイントをGateway型とする場合、プライベートサブネットのルートテーブルにエントリが自動的に追加される。この設定により、プライベートサブネット内からユースカジノ 特徴へアクセスしたい場合には、NAT経由ではなくVPCエンドポイントを経由するようになる。
| 送信先 | ターゲット |
|---|---|
| 10.10.16.0/20 | local |
| 0.0.0.0/0 | NATゲートウェイ |
| pl-xxxxxxx (自動設定されたユースカジノ 特徴のプレフィックスリスト) |
ユースカジノ 特徴のVPCエンドポイント |
7. 追加構成の構築(その2)
さらに、5.ユースカジノ 特徴を構築していきます。
ユースカジノ 特徴Y側のS3バケットにおけるオブジェクト配置
テスト的に以下のようにオブジェクトを配置します。
| バケット名 | ユースカジノ 特徴 URI | オブジェクト名 |
|---|---|---|
| ユースカジノ 特徴bucket-yyyy | ユースカジノ 特徴://ユースカジノ 特徴bucket-yyyy /01_test/parquet/2025/02 | 20250201.parquet |
| ユースカジノ 特徴bucket-yyyy | ユースカジノ 特徴://ユースカジノ 特徴bucket-yyyy /01_test/parquet/2025/02 | 20250202.parquet |
| ユースカジノ 特徴bucket-yyyy | ユースカジノ 特徴://ユースカジノ 特徴bucket-yyyy /01_test/parquet/2025/03 | 20250301.parquet |
ユースカジノ 特徴データベースとテーブルの設定
上記のS3データをユースカジノ 特徴から読み込めるように、データベース名、テーブル名、Locaitonを設定します。
| データベース名 | テーブル名 | Location |
|---|---|---|
| db-xxxx | cross_table2025 | ユースカジノ 特徴://ユースカジノ 特徴bucket-yyyy /01_test/parquet/2025/ |
ポリシー、ロール
ユースカジノ 特徴X側に以下のポリシー(access-policy)を作成します(バケット名は仮名で設定しています)。このポリシーをユースカジノ 特徴Yにアクセスしたいユーザ、やロールにアタッチします。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ユースカジノ 特徴:GetObject",
"ユースカジノ 特徴:ListBucket"
],
"Resource": [
"arn:aws:ユースカジノ 特徴:::ユースカジノ 特徴bucket2222",
"arn:aws:ユースカジノ 特徴:::ユースカジノ 特徴bucket2222/*"
]
}
]
}続いて、ユースカジノ 特徴Y側のS3バケットにバケットポリシーを作成します。(ユースカジノ 特徴Xのユースカジノ 特徴ID、受け入れ許可するユーザ名/ロール名は仮名で設定しています)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal":{
"AWS":[
"arn:aws:iam::111111111111:user/usr111",
"arn:aws:iam::111111111111:role/access-role"
]
},
"Action": [
"ユースカジノ 特徴:GetObject",
"ユースカジノ 特徴:ListBucket"
],
"Resource": [
"arn:aws:ユースカジノ 特徴:::ユースカジノ 特徴bucket2222",
"arn:aws:ユースカジノ 特徴:::ユースカジノ 特徴bucket2222/*"
]
}
]
}
ここまでの構成をまとめると以下のようになります。
8. 動作確認
① ユースカジノ 特徴→S3
SELECT * FROM " db-xxxx"." table2025" limit 10;
※実行例です。正常に出力結果が返ってくることを示すために、表記したデータベース名、テーブル名は異なっています。(以下同じ)
② ユースカジノ 特徴(Athena→S3)
SELECT * FROM " db-xxxx"." cross_table2025" limit 10;
③ ユースカジノ 特徴→S3
import pandas as pd
df=pd.read_parquet("ユースカジノ 特徴://ユースカジノ 特徴bucket-xxxx/01_test/parquet/2025/02/20250201.parquet ")
df
④ ユースカジノ 特徴→Athena→S3
import awswrangler as wr
database = 'db-xxxx'
query = '''
select * from table2025
'''
ユースカジノ 特徴_df = wr.ユースカジノ 特徴.read_sql_query(
sql=query,
database=database
)
⑤ ユースカジノ 特徴(SageMaker→Athena→S3)
import awswrangler as wr
database = 'db-xxxx'
query_cross = '''
select * from cross_table2025
'''
ユースカジノ 特徴_df_cross = wr.ユースカジノ 特徴.read_sql_query(
sql=query_cross,
database=database
)
9. まとめ
このように、SageMakerの閉域化、及び、Amazon Athena、 Amazon SageMaker、 Amazon S3をユースカジノ 特徴する方法をご紹介しました。後編では、この構成にログ確認とリモート接続制御の構成を追加していきます。
Athenaでのユースカジノ 特徴 SageMakerの閉域化と監視及び接続のセキュア化(後編)
ユースカジノ 特徴は、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にユースカジノ 登録ください。
