この説明の対象ユーザー

初めてエージェントやスキャナーを構築する環境運用者

主なリソース一覧

AWS Batch

AWS Batchは、フルマネージド型のバッチ処理を実行するためのコンピューティング環境で、連携エージェントの実行環境です。AWS Batchでは、エージェントのコンテナイメージを実行します。

AWS Batchでは、コンピューティング環境とジョブ定義で、コンピュートリソースや環境変数などを設定します。連携エージェントのAWS Batchは、AWS Fargateを使用するコンテナ向けサーバレスコンピューティングであり、ジョブ実行時のみインスタンスが起動します。

詳細は、以下を参照してください。

AWS Batch

AWS IAMロールとIAMポリシー

連携エージェントが作成するIAMロールとIAMポリシーは、必要最小限の権限に設定されます。これらは、次の目的で使用されます。

• AWS Batchのジョブを実行
• ロールの引き受け（Assume Role）機能を使用し、当社AWSアカウントへのアクセスを制御
• ワーキング環境として使用するAmazon S3バケットへのアクセス
• パラメータストアからデータソースへの接続情報（シークレット）を取得
• Amazon Elastic Container Registry （ECR）からコンテナイメージを取得
• AWS上のデータソースに対する読み取りアクセス　※一部のデータソースのみ

セキュリティグループ

連携エージェントの構築では、AWS Batchで使用するセキュリティグループが作成されます。このセキュリティグループは以下が設定されます。

• 全てのアウトバウンドトラフィックを許可します。
• 全てのインバウンドトラフィックを拒否します。

この設定のため、インターネットゲートウェイへルーティングされているパブリックサブネットにエージェントを構築した場合でも、インターネットからエージェントの実行環境へアクセスすることはできません。

AWS PrivateLinkを使用して連携エージェントを構築する場合、VPCエンドポイントには、このセキュリティグループが関連付けられます。（インタフェースエンドポイントのみ）

VPCエンドポイント

AWS PrivateLinkを使用して連携エージェントを構築する場合、複数のVPCエンドポイントが作成されます。詳細は、Quollioサポートポータルで公開しています。

Amazon S3バケット

Amazon S3バケットは、主にエージェントを実行するバッチ処理で一時作業領域として使用されます。

なお、Metadata Agent for Amazon Athenaでは、エージェントのクエリ履歴がS3バケットに保存されます。

Amazon CloudWatch Logs​

Batch ジョブとして実行されたエージェントの実行ログは、CloudWatch Logsに出力されます。

Amazon EventBridge

エージェントの構築において、ジョブ実行のスケジュールを設定することができます。この機能は、EventBridgeのルールにより実現されます。

AWSリソース費用の目安

Metadata Agentを例に、連携エージェントの運用費用の目安を記載します。（2025年3月現在）

前提条件

以下の環境と運用を仮定します。

• データソース内のテーブル数は、100
• 1テーブルあたりのカラム数は、20
• 日次で1回、エージェントをジョブとして実行
• ネットワーク接続は、AWS PrivateLinkを使用

データソースの状態にも依存しますが、上記の例では、日換算で約3MB、月換算で約0.1GBのメタデータが取得されます。エージェントが使用するAWSサービスのうち、主に料金が発生するサービスは以下の通りです。

• AWS Batch （AWS Fargate）
• Amazon CloudWatch Logs
• AWS PrivateLink 

概算