Virtual private cloud (仮想プライベートクラウド )(VPC) 送信先 - AWS IoT Core
要件と考慮事項料金仮想プライベートクラウド (VPC) トピックルールの送信先の作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Virtual private cloud (仮想プライベートクラウド )(VPC) 送信先

Apache Kafka ルールアクションは、データを Amazon Virtual Private Cloud (Amazon VPC) の Apache Kafka クラスターにルーティングします。Apache Kafka ルールアクションで使用される VPC 設定は、ルールアクションの VPC 送信先を指定すると自動的に有効になります。

VPC の送信先は、VPC 内のサブネットのリストに含まれています。ルールエンジンは、このリストで指定する各サブネットで Elastic Network Interface を作成します。ネットワークインターフェイスの詳細については、Amazon EC2 ユーザーガイドの Elastic Network Interface (伸縮自在のネットワークインターフェース)を参照してください。

要件と考慮事項

  • インターネット経由でパブリックエンドポイントを使用してアクセスされるセルフマネージド型 Apache Kafka クラスターを使用している場合。

    • サブネット内のインスタンス用に NAT ゲートウェイを作成します。NAT ゲートウェイには、インターネットに接続できるパブリック IP アドレスがあるため、ルールエンジンがメッセージをパブリック Kafka クラスターに転送できます。

    • VPC の宛先によって作成された Elastic Network Interface (ENI) を使用して Elastic IP アドレスを割り当てます。使用するセキュリティグループは、着信トラフィックをブロックするように設定する必要があります。

      注記

      VPC の宛先が無効になってから再度有効化されている場合は、Elastic IP を新しい ENI に再度関連付ける必要があります。

  • 30 日間連続してトラフィックを受信しなかった VPC トピックルールの送信先は、無効になります。

  • VPC の送信先で使用されるリソースが変更された場合、送信先は無効になり、使用できなくなります。

  • VPC の送信先を無効にする可能性のある変更には、使用しているVPC、サブネット、セキュリティグループ、または使用されたロールの削除、必要なアクセス許可を失ったロールの変更、宛先の無効化などがあります。

料金

請求のために、リソースが VPC 内にある場合にリソースにメッセージを送信するアクションに加えて、VPC ルールアクションが計測されます。料金については、AWS IoT Core 料金を参照してください。

仮想プライベートクラウド (VPC) トピックルールの送信先の作成

CreateTopicRuleDestination API または AWS IoT Core コンソールを使用して、Virtual Private Cloud (VPC) の送信先を作成します。

VPC 送信先を作成する場合は、次の情報を指定する必要があります。

vpcId

VPC 送信先の一意の ID。

subnetIds

ルールエンジンが Elastic Network Iinterfaces を作成するサブネットのリスト。ルールエンジンは、リスト内のサブネットごとに 1 つのネットワークインターフェイスを割り当てます。

securityGroups (オプション)

ネットワークインターフェイスに適用するセキュリティグループのリスト。

roleArn

ユーザーに代わってネットワークインターフェイスを作成するための許可を持つロールの Amazon リソースネーム (ARN)。

この ARN には、次の例のようなポリシーがアタッチされている必要があります。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/VPCDestinationENI": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface",
                    "aws:RequestTag/VPCDestinationENI": "true"
                }
            }
        }
    ]
}

を使用した VPC 送信先の作成 AWS CLI

以下の例は、 AWS CLI を使用して VPC 送信先を作成する方法を示しています。


aws --region regions iot create-topic-rule-destination --destination-configuration 'vpcConfiguration={subnetIds=["subnet-123456789101230456"],securityGroups=[],vpcId="vpc-123456789101230456",roleArn="arn:aws:iam::123456789012:role/role-name"}'

このコマンドを実行すると、VPC 送信先のステータスは、 IN_PROGRESS になります。数分後、そのステータスはERROR (コマンドが成功しなかった場合) または ENABLEDに変わります。送信先ステータスが ENABLED の場合、使用可能です。

次のコマンドを使用して、VPC 送信先のステータスを取得できます。


aws --region region iot get-topic-rule-destination --arn "VPCDestinationARN"

AWS IoT Core コンソールを使用した VPC 送信先の作成

次の手順では、 AWS IoT Core コンソールを使用して VPC 送信先を作成する方法について説明します。

  1. AWS IoT Core コンソールに移動します。左のペインの[Act] タブで、[送信先] を選択します。

  2. 以下のフィールドに値を入力します。

    • VPC ID

    • サブネット ID

    • セキュリティグループ

  3. ネットワークインターフェイスの作成に必要な許可を持つロールを選択します。上記のポリシー例には、これらの許可が含まれています。

VPC 送信先ステータスが、[ENABLED](有効) の場合、使用する準備ができています。