インターフェイス VPC エンドポイント - AWS Identity and Access Management

インターフェイス VPC エンドポイント

Amazon Virtual Private Cloud (Amazon VPC) を使用して AWS リソースをホストすると、VPC と AWS Security Token Service (AWS STS) の間のプライベート接続を確立できます。この接続を使用すると、AWS STS はパブリックインターネットを経由せずに、VPC 内のリソースと通信できます。

Amazon VPC は、ユーザー定義の仮想ネットワークで AWS リソースを起動するために使用できる AWS のサービスです。VPC を使用すると、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC を AWS STS に接続するには、AWS STS の インターフェイス VPC エンドポイントを定義します。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とせず、信頼性が高くスケーラブルな AWS STS への接続を提供します。詳細については、Amazon VPC ユーザーガイド「Amazon VPC とは」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink を利用しています。これは、Elastic Network Interface とプライベート IP アドレスを使用して AWS のサービス間のプライベート通信を可能にする AWS のテクノロジーです。詳細については、「AWS サービスの AWS PrivateLink」を参照してください。

以下の情報は Amazon VPC のユーザーを対象としています。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC の使用開始」を参照してください。

可用性

現在、AWS STS は、次のリージョンで VPC エンドポイントをサポートしています。

  • 米国東部 (オハイオ)

  • 米国東部 (バージニア北部)

  • 米国西部 (北カリフォルニア)

  • 米国西部 (オレゴン)

  • アフリカ (ケープタウン)

  • アジアパシフィック (香港)

  • アジアパシフィック (ムンバイ)

  • アジアパシフィック (大阪)

  • アジアパシフィック (ソウル)

  • アジアパシフィック (シンガポール)

  • アジアパシフィック (シドニー)

  • アジアパシフィック (東京)

  • カナダ (中部)

  • 中国 (北京)

  • 中国 (寧夏)

  • 欧州 (フランクフルト)

  • 欧州 (アイルランド)

  • 欧州 (ロンドン)

  • 欧州 (ミラノ)

  • ヨーロッパ (パリ)

  • ヨーロッパ (ストックホルム)

  • 中東 (バーレーン)

  • 南米 (サンパウロ)

  • AWS GovCloud (米国東部)

  • AWS GovCloud (米国西部)

AWS STS の VPC エンドポイントを作成する

VPC で AWS STS の使用を開始するには、AWS STS のインターフェイス VPC エンドポイントを作成します。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイントを使用して AWS のサービスにアクセスする」を参照してください。

VPC エンドポイントを作成した後は、一致するリージョンのエンドポイントを使用して AWS STS リクエストを送信する必要があります。AWS STS では、setRegion メソッドと setEndpoint メソッドの両方を使用してリージョンのエンドポイントを呼び出すことを推奨しています。setRegion メソッドは、アジアパシフィック (香港) など、手動で有効になっているリージョンに単独で使用できます。この場合、呼び出しは STS リージョン別エンドポイントに送信されます。手動でリージョンを有効にする方法については、「AWS 全般のリファレンス」の「AWS リージョンの管理」を参照してください。デフォルトで有効になっているリージョンに setRegion メソッドを単独で使用する場合、呼び出しは https://sts.amazonaws.com のグローバルエンドポイントに送信されます。

リージョンのエンドポイントを使用すると、AWS STS は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち使用中のいずれかを使って、他の AWS のサービスを呼び出します。たとえば、AWS STS のインターフェイス VPC エンドポイントを作成し、VPC にあるリソースの一時的な認証情報を AWS STS からリクエスト済みであるとします。その場合、これらの認証情報は、デフォルトではそのインターフェイス VPC エンドポイントを経由して流れ始めます。AWS STS を使用してリージョンのリクエストを作成する方法の詳細については、「AWS リージョン での AWS STS の管理」を参照してください。