インターフェイス VPC エンドポイント (AWS PrivateLink) を使って Amazon Lookout for Vision にアクセスする - Amazon Lookout for Vision
Lookout for Vision VPC エンドポイントに関する考慮事項Lookout for Vision 用のインターフェイス VPC エンドポイントの作成Lookout for Vision 用の VPC エンドポイントポリシーの作成

インターフェイス VPC エンドポイント (AWS PrivateLink) を使って Amazon Lookout for Vision にアクセスする

AWS PrivateLink を使って、VPC と Amazon Lookout for Vision 間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれかを使用せずに、VPC 内にあるかのように Lookout for Vision にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても Lookout for Vision にアクセスできます。

このプライベート接続を確立するには、AWS PrivateLink を利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Lookout for Vision 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

詳細については、「AWS PrivateLink ガイド」の「AWS PrivateLink を通して AWS のサービス にアクセスする」を参照してください。

Lookout for Vision VPC エンドポイントに関する考慮事項

Lookout for Vision のインターフェイスエンドポイントをセットアップする前に、「ガイド」の「AWS PrivateLink 考慮事項」を確認してください。

Lookout for Vision は、インターフェイスエンドポイントを介したその API アクションすべてへの呼び出しをサポートしています。

VPC エンドポイントポリシーは Lookout for Vision でサポートされています。デフォルトでは、エンドポイントを通じた Lookout for Vision へのフルアクセスが許可されています。または、セキュリティグループをエンドポイントのネットワークインターフェイスに関連付けて、インターフェイスエンドポイントを介して Lookout for Vision へのトラフィックを制御することもできます。

Lookout for Vision 用のインターフェイス VPC エンドポイントの作成

Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Lookout for Vision 用のインターフェイスエンドポイントを作成できます。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成する」を参照してください。

次のサービス名を使って Lookout for Vision 用インターフェースエンドポイントを作成します:

com.amazonaws.region.lookoutvision

インターフェースエンドポイント用プライベート DNS を有効にすると、デフォルトのリージョン DNS 名を使用して Lookout for Vision への API リクエストを行えます。例えば、lookoutvision.us-east-1.amazonaws.com のようにです。

Lookout for Vision 用の VPC エンドポイントポリシーの作成

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーは、インターフェイスエンドポイント経由で Lookout for Vision へのフルアクセスを許可します。VPC から Lookout for Vision に許可されたアクセス権を管理するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。

エンドポイントポリシーは、以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「AWS PrivateLink ガイド」の「Control access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)」を参照してください。

例: Lookout for Vision アクションの VPC エンドポイントポリシー

Lookout for Vision のカスタムエンドポイントポリシーの例を次に示します。このポリシーはインターフェイスエンドポイントにアタッチされると、VPC インターフェースエンドポイントにアクセスできるすべてのユーザーが、プロジェクト myProject に関連付けられた Lookout for Vision モデル myModelDetectAnomalies API オペレーションの呼び出しを許可されるように指定します。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "lookoutvision:DetectAnomalies"
         ],
         "Resource": "arn:aws:lookoutvision:us-west-2:123456789012:model/myProject/myModel"
      }
   ]
}