このドキュメントの対象ユーザー
エージェントとして構成されるAWSリソース
AWS Batch
AWS Batchは、フルマネージド型のバッチ処理を実行するためのコンピューティング環境で、連携エージェントの実行環境です。AWS Batchでは、エージェントのコンテナイメージを実行します。
AWS Batchでは、コンピューティング環境とジョブ定義で、コンピュートリソースや環境変数などを設定します。連携エージェントのAWS Batchは、AWS Fargateを使用するコンテナ向けサーバレスコンピューティングであり、ジョブ実行時のみインスタンスが起動します。
詳細は、以下を参照してください。
AWS IAMロールとIAMポリシー
連携エージェントが作成するIAMロールとIAMポリシーは、必要最小限の権限に設定されます。これらは、次の目的で使用されます。
- AWS Batchのジョブを実行
- ロールの引き受け(Assume Role)機能を使用し、当社AWSアカウントへのアクセスを制御
- ワーキング環境として使用するAmazon S3バケットへのアクセス
- パラメータストアからデータソースへの接続情報(シークレット)を取得
- Amazon Elastic Container Registry (ECR)からコンテナイメージを取得
- AWS上のデータソースに対する読み取りアクセス ※一部のデータソースのみ
セキュリティグループ
連携エージェントの構築では、AWS Batchで使用するセキュリティグループを作成されます。このセキュリティグループでは以下の通り設定されます。
- 全てのアウトバウンドトラフィックを許可します。
- 全てのインバウンドトラフィックを拒否します。
この設定のため、インターネットゲートウェイへルーティングされているパブリックサブネットにエージェントを構築した場合でも、インターネットからエージェントの実行環境へアクセスすることはできません。
AWS PrivateLinkを使用して連携エージェントを構築する場合、VPCエンドポイントには、このセキュリティグループが関連付けられます。(インタフェースエンドポイントのみ)
VPCエンドポイント
AWS PrivateLinkを使用して連携エージェントを構築する場合、複数のVPCエンドポイントが作成されます。詳細は、Quollioサポートポータルで公開しております。
Amazon S3バケット
Amazon S3バケットは、主にエージェントを実行するバッチ処理で一時作業領域として使用されます。
なお、Medata Agent for Amazon Athenaでは、エージェントのクエリ履歴がS3バケットに保存されます。
Amazon CloudWatch Logs
Batch ジョブとして実行されたエージェントの実行ログは、CloudWatch Logsに出力されます。
Amazon EventBridge
エージェントの構築において、ジョブ実行のスケジュールを設定することができます。この機能は、EventBridgeのルールにより実現されます。