Performance Insights API とインターフェイス VPC エンドポイント (AWS PrivateLink) - Amazon Aurora

Performance Insights API とインターフェイス VPC エンドポイント (AWS PrivateLink)

AWS PrivateLink を使用して、VPC と Amazon RDS Performance Insights 間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC 内にあるかのように Performance Insights にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても Performance Insights にアクセスできます。

このプライベート接続を確立するには、AWS PrivateLink を利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Performance Insights 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

詳細については、『AWS PrivateLink ガイド』の「AWS のサービス でアクセスする」を参照してください。

Performance Insights に関する考慮事項

Performance Insights のインターフェイスエンドポイントを設定する前に、「AWS PrivateLink ガイド」の「考慮事項」を確認してください。

Performance Insights は、インターフェイスエンドポイントを介したすべての API アクションの呼び出しをサポートしています。

デフォルトでは、Performance Insights への完全なアクセスは、インターフェイスエンドポイント経由で許可されます。インターフェイスエンドポイントを介した Performance Insights へのトラフィックを制御するには、セキュリティグループをエンドポイントネットワークインターフェイスに関連付けます。

可用性

Performance Insights API は現在、Performance Insights をサポートする AWS リージョン の VPC エンドポイントをサポートしています。Performance Insights の可用性の詳細については、「 Performance Insights でサポートされているリージョンと Aurora DB エンジン」を参照してください。

Performance Insights のインターフェイスエンドポイントの作成

Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Performance Insights のインターフェイスエンドポイントを作成できます。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。

以下のサービス名を使用して、Performance Insights のインターフェイスエンドポイントを作成します。

インターフェイスエンドポイントのプライベート DNS を有効にすると、デフォルトのリージョン DNS 名を使用して Performance Insights への API 要求を行うことができます。例えば、pi.us-east-1.amazonaws.com と指定します。

Performance Insights API の VPC エンドポイントポリシーの作成

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介した Performance Insights へのフルアクセスが許可されています。VPC から Performance Insights に許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。

エンドポイントポリシーは、以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、AWS PrivateLink ガイドControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。

例: Performance Insights アクションの VPC エンドポイントポリシー

以下は、カスタムエンドポイントポリシーの例です。このポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルについて、リストされている Performance Insights アクションへのアクセス権を付与します。

{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "rds:CreatePerformanceAnalysisReport", "rds:DeletePerformanceAnalysisReport", "rds:GetPerformanceAnalysisReport" ], "Resource":"*" } ] }
例: 指定した AWS アカウントからのすべてのアクセスを拒否する VPC エンドポイントポリシー

以下の VPC エンドポイントポリシーは、AWS アカウント 123456789012 からリソースへのエンドポイントを使用したすべてのアクセスを拒否します。このポリシーは、他のアカウントからのすべてのアクションを許可します。

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }

Performance Insights の IP アドレス指定

IP アドレスは、VPC のリソースの相互通信とインターネット上のリソースとの通信を有効にします。Performance Insights は、IPv4 と IPv6 の両方のアドレス指定プロトコルをサポートしています。デフォルトでは、Performance Insights と Amazon VPC は IPv4 アドレス設定プロトコルを使用します。この動作をオフにすることはできません。VPC の作成時には、IPv4 CIDR ブロック (プライベート IPv4 アドレスの範囲) を指定する必要があります。

オプションで、IPv6 CIDR ブロックを VPC とサブネットに割り当て、そのブロックからサブネットの RDS リソースに IPv6 アドレスを割り当てることができます。IPv6 プロトコルのサポートにより、サポートされる IP アドレスの数が増えます。IPv6 プロトコルを使用することで、インターネットの今後の成長に十分なアドレスを確保できます。新規および既存の RDS リソースは、VPC 内で IPv4 アドレスと IPv6 アドレスを使用できます。アプリケーションの異なる部分で使用される 2 つのプロトコル間のネットワークトラフィックの設定、保護、および変換を行うと、運用上のオーバーヘッドが発生する可能性があります。Amazon RDS リソースについては IPv6 プロトコルを標準化して、ネットワーク構成を簡素化できます。サービスエンドポイントとクォータの詳細については、「Amazon リレーショナルデータベースサービスエンドポイントとクォータ」を参照してください。

Aurora IP アドレス指定の詳細については、「Aurora IP アドレス指定」「」を参照してください。