必要なVPCエンドポイントとDNS設定

AWS Management Console プライベートアクセスには、リージョンごとに次の 2 つのVPCエンドポイントが必要です。置換 region 独自のリージョン情報を使用します。

1. com.amazonaws。regionの コンソール AWS Management Console

2. com.amazonaws。regionの .signin AWS サインイン

注記

インフラストラクチャとネットワーク接続は、 AWS Management Consoleで使用する他のリージョンに関係なく、常に米国東部 (バージニア北部) (us-east-1) リージョンにプロビジョニングします。 AWS Transit Gateway を使用して、米国東部 (バージニア北部) と他のすべてのリージョンとの接続を設定できます。詳細については、「Amazon Transit Gateways ガイド」の「トランジットゲートウェイの開始方法」を参照してください。 VPC Amazon VPCピアリングを使用することもできます。詳細については、「Amazon VPCピアリングガイド」の「ピアリングとは」を参照してください。 VPC これらのオプションを比較するには、ホワイトペーパー「Amazon Virtual Private Cloud VPC接続オプション」の「Amazon VPC間の接続オプション」を参照してください。 Amazon Virtual Private Cloud

DNSAWS Management Console および の設定 AWS サインイン

ネットワークトラフィックをそれぞれのVPCエンドポイントにルーティングするには、ユーザーが にアクセスするネットワーク内のDNSレコードを設定します AWS Management Console。これらのDNSレコードは、作成したVPCエンドポイントにユーザーのブラウザトラフィックを誘導します。

1 つのホストゾーンを作成できます。ただし、 health.aws.amazon.comや docs.aws.amazon.com などのエンドポイントにはVPCエンドポイントがないため、アクセスできません。これらのドメインはパブリックインターネットにルーティングする必要があります。リージョンごとに 2 つのプライベートホストゾーンを作成することをお勧めします。1 つは signin.aws.amazon.com 用、別の 1 つは console.aws.amazon.com 用で、以下の CNAME レコードを使用します。

• リージョンの CNAME レコード (すべてのリージョン)

• regionサインインDNSゾーンの AWS サインイン VPCエンドポイントを指す .signin.aws.amazon.com

• regionコンソールDNSゾーンの AWS Management Console VPCエンドポイントを指す .console.aws.amazon.com

• 米国東部 (バージニア北部) リージョン専用のリージョンレス CNAME レコード。常に米国東部 (バージニア北部) リージョンを設定する必要があります。

  • 米国東部 (バージニア北部) (us-east-1) のエンドポイントを指す AWS サインイン VPC signin.aws.amazon.com

  • 米国東部 (バージニア北部) (us-east-1) のエンドポイントを指す AWS Management Console VPC console.aws.amazon.com

CNAME レコードを作成する手順については、「Amazon Route 53 デベロッパーガイド」の「レコードを使用する」を参照してください。

Amazon S3 を含む一部の AWS コンソールでは、DNS名前に異なるパターンが使用されます。以下に 2 つの例を示します。

• support.console.aws.amazon.com

• s3.console.aws.amazon.com

このトラフィックをエンドポイントに送信 AWS Management Console VPCできるようにするには、それらの名前を個別に追加する必要があります。完全にプライベートなエクスペリエンスを実現するために、すべてのエンドポイントにルーティングを設定することをお勧めします。ただし、 AWS Management Console これはプライベートアクセスを使用するためには必要ありません。

次のjsonファイルには、リージョンごとに設定する AWS サービスとコンソールエンドポイントの完全なリストが含まれています。DNS の名前には、com.amazonaws.region.console エンドポイントの下の PrivateIpv4DnsNames フィールドを使用します。

• https://configuration.private-access.console.amazonaws.com/us-east-1.config.json

• https://configuration.private-access.console.amazonaws.com/us-east-2.config.json

• https://configuration.private-access.console.amazonaws.com/us-west-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-northeast-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-northeast-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-southeast-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-southeast-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-south-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-south-2.config.json

• https://configuration.private-access.console.amazonaws.com/ca-central-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-central-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-west-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-west-2.config.json

• https://configuration.private-access.console.amazonaws.com/il-central-1.config.json

注記

このリストは、 AWS Management Console プライベートアクセスの範囲にエンドポイントが追加されるたびに毎月更新されます。プライベートホストゾーンを最新の状態に保つには、前述のファイルリストを定期的に取得してください。

Route 53 を使用して を設定する場合はDNS、 https://console.aws.amazon.com/route53/v2/hostedzones# に移動してDNS設定を確認します。Route 53 のプライベートホストゾーンごとに、次のレコードセットが存在することを確認します。

• console.aws.amazon.com

• signin.aws.amazon.com

• region.console.aws.amazon.com

• region.signin.aws.amazon.com

• support.console.aws.amazon.com

• global.console.aws.amazon.com

• 前述のJSONファイルに存在する追加のレコード

VPC AWS サービスの エンドポイントとDNS設定

は AWS サービス 、ブラウザの直接リクエストとウェブサーバーによってプロキシされるリクエストを組み合わせて AWS Management Console 呼び出します。このトラフィックを AWS Management Console VPCエンドポイントに送信するには、VPCエンドポイントを追加し、依存 AWS サービスDNSごとに を設定する必要があります。

次のjsonファイルには、 AWS PrivateLink サポートされている AWS サービス が一覧表示されています。サービスと が統合されていない場合 AWS PrivateLink、サービスはこれらのファイルに含まれません。

• https://configuration.private-access.console.amazonaws.com/us-east-1.config.json

• https://configuration.private-access.console.amazonaws.com/us-east-2.config.json

• https://configuration.private-access.console.amazonaws.com/us-west-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-northeast-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-northeast-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-southeast-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-southeast-2.config.json

• https://configuration.private-access.console.amazonaws.com/ap-south-1.config.json

• https://configuration.private-access.console.amazonaws.com/ap-south-2.config.json

• https://configuration.private-access.console.amazonaws.com/ca-central-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-central-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-west-1.config.json

• https://configuration.private-access.console.amazonaws.com/eu-west-2.config.json

• https://configuration.private-access.console.amazonaws.com/il-central-1.config.json

対応するサービスのVPCエンドポイントの ServiceNameフィールドを使用して、 に追加しますVPC。

注記

このリストは、プライベート AWS Management Console アクセスのサポートをより多くのサービスコンソールに追加する際に毎月更新されます。最新の状態に保つには、上記のファイルリストを定期的にプルし、VPCエンドポイントを更新します。