PrivateLink での AWS の使用 AWS Marketplace

AWS Marketplace は AWS PrivateLink、Amazon ネットワークを使用して、 を通じて販売する製品へのアクセスを購入者に提供するテクノロジーである をサポートします AWS Marketplace。このドキュメントでは、 AWS PrivateLink テクノロジーを使用して Amazon Virtual Private Cloud (VPC) エンドポイントを介して製品を設定および配信するプロセスの概要を説明します。

このドキュメントでは、複数の AWS サービスと AWS Marketplace 環境に関する実務知識があることを前提としています。

序章

AWS Marketplace 販売者は、Amazon VPC エンドポイントを介して購入者にサービスへのアクセスを提供できます。このアプローチにより、購入者は AWS PrivateLink テクノロジーを使用して Amazon ネットワーク経由で販売者のサービスにアクセスできます。 AWS Marketplace を使用してこのサービスを作成および配信する場合、購入者は でサービスを検出できます AWS Marketplace。購入者は、VPC エンドポイントを作成するための使用可能なサービスのリストで、製品を見つけることもできます。

VPC エンドポイントは、インターネット、NAT デバイス、VPN 接続、または を介したアクセスを必要とせずに、 AWS VPC と別の AWS サービスとの間にプライベート接続を作成できるようにする仮想デバイスです AWS Direct Connect。を使用してエンドポイントサービスを作成し AWS Marketplace 、購入者がこのテクノロジーを使用してサービスに接続できるようにします。この接続方法は、インターネット経由ではなく、Amazon のプライベートネットワーク経由でサービスにアクセスするため、購入者にとってより安全です。

サービスを提供するリージョンごとに、サービスエンドポイントを作成することにより、リソースを新規作成するか既存のリソースを使用して VPC を設定し、サービスインスタンスと Network Load Balancer をセットアップして、サービスを Network Load Balancer に登録します。これらのステップを完了し、サービスをテストしたら、設定情報を AWS Marketplace Seller Operations チームに提供します。

AWS では、購入者が VPC エンドポイントを作成するときに使用できるプライベート DNS 名を指定することをお勧めします。

購入者は VPC エンドポイントを作成するときに、オプションとして、プライベート DNS 名を有効にすることができます。このオプションを選択すると、購入者の VPC サービスによってプライベートホストゾーンが設定されます。プライベート DNS 名を指定すると、購入者はこれを使用して販売者のサービスに接続するように VPC エンドポイントを設定できます。購入者のプライベートホストゾーンで、プライベート DNS 名 (api.example.com) は、エンドポイントサービス用にランダムに生成された DNS 名 (vpce-11111111111111111-yyyyyyyy.api.vpce.example.com) をポイントします。購入者の EC2 インスタンスは、複数の異なる VPC 間で同じ統一された DNS 名 (api.example.com) を呼び出します。また、パブリックとプライベートの DNS 名が同じであれば、購入者は VPC の内部または外部からサービスにアクセスする際に同じパブリック名を使用できます。

を通じてサービスを利用できるようにする方法については AWS Marketplace、 AWS Marketplace Seller Operations チームにお問い合わせください。 AWS Marketplace 購入者がサービスをサブスクライブして VPC エンドポイントを作成すると、サービスは AWS Marketplace Services の下に表示されます。 AWS Marketplace Seller Operations チームは、VPC エンドポイントの作成時にサービスを簡単に検出できるように、ユーザーフレンドリーな DNS 名を使用します。

製品は SaaS(Software as a Service) 製品として作成されます。計測と請求は、他の AWS Marketplace SaaS 製品と同じです。

製品の設定

Amazon VPC エンドポイント経由で製品を使用できるように設定するには:

1. 既存の Amazon VPC を作成または使用します。

2. 製品の Amazon EC2 インスタンス (複数可) を作成 (または既存のインスタンスを使用) します。

3. 製品を提供する各リージョンで Network Load Balancer を作成します。 AWS では、あるリージョンのすべてのアベイラビリティーゾーン (AZ) を含めることをお勧めします。

4. Amazon VPC コンソール、CLI、またはサポートされている SDK を使用して、VPC エンドポイントサービスを作成します。

5. Network Load Balancer 経由でサービスにアクセスできることを確認します。

6. わかりやすい DNS 名の証明書を AWS Certificate Manager (ACM) にリクエストします。ACM は証明書を発行する前に、証明書リクエストのドメイン名の所有者または管理者を検証します。

7. api.vpce.example.com などのユーザーフレンドリーな DNS 名のサブドメインを、 AWS Marketplace Seller Operations チームによって提供されるネームサーバーに委任します。DNS システムでは、DNS 名 (vpce-0ac6c347a78c90f8.api.vpce.example.com など) をパブリックに解決できるように、このサブドメインを AWS Marketplace Seller Operations チームが提供する Amazon Route 53 ネームサーバーを指すネームサーバー (NS) リソースレコードを作成する必要があります。

8. 購入者の AWS アカウントへのアクセスを許可します。

   注: サポートされている SDK またはこの CLI コマンドを使用して、アカウントへのアクセスを自動化できます。aws vpcev2 modify-vpc-endpoint-service-permissions --service-id vpce-svc-0123456789abcdef1 --add-allowed-principals arn:aws:iam::111111111111:root arn:aws:iam::222222222222:root。

製品を に送信する AWS Marketplace

サービスを に公開するプロセス中に AWS Marketplace、 AWS Marketplace Seller Operations チームと協力して作業します。 PrivateLink対応製品を送信するには：

1. 次の情報を AWS Marketplace Seller Operations チームに E メールで送信します。

   1. エンドポイントと、エンドポイントの作成に使用された AWS アカウント。エンドポイントは次のようになります: com.amazonaws.vpce.us-east-1.vpce-svc-0daa010345a21646

   2. ユーザーが使いやすいサービスの DNS 名。これは、 AWS Marketplace 購入者が製品にアクセスするために使用する DNS 名です。

   3. 証明書のリクエストに使用した AWS アカウントと、購入者が VPC エンドポイントへのアクセスに使用するプライベート DNS 名。

      Seller AWS Marketplace Operations チームは、登録するサービスに使用する会社の ID と DNS 名 (api.vpce.example.com など) を検証します。検証後、DNS 名はデフォルトのベースエンドポイントの DNS 名よりも優先されます。

VPC エンドポイントへの購入者のアクセス

AWS Marketplace VPC エンドポイントを作成する購入者は、次のような状況でサービスを検出できます。

• このページで前述した販売者のプロセスに従って、製品を新規作成したか、既存の製品を使用した場合。

• 購入者がサービスをサブスクライブした場合。

• 許可された AWS アカウントのリストに購入者のアカウントを追加しました。

購入者が VPC エンドポイントを作成する場合、オプションとして、プライベートホストゾーンを VPC と関連付けることができます。ホストゾーンにはサービスのデフォルトのプライベート DNS 名 (など) のレコードセットが含まれており、VPC のエンドポイントネットワークインターフェイスのプライベート IP アドレスに解決されます。

AWS Marketplace サービスを含む購入者がホストするエンドポイントは、すべての アカウントにアクセス許可 (「*」アクセス許可) を付与できます。ただし、この方法を使用すると、サービス名で検索しない限り、Describe 呼び出しやコンソールにサービスが表示されません。サービスを Describe コールに表示するには、購入者の AWS アカウントをサービスによって許可リストに明示的に追加する必要があります。

サービスにアクセスする場合、購入者は次の操作を行います。

1. でサービスを検出してサブスクライブします AWS Marketplace。

2. AWS Command Line Interface （AWS CLI）、API、または Amazon VPC コンソールを使用してサービスを検出し、使用するサブネットと AZsします。エンドポイントは、サブネットに Elastic Network Interface として表示されます。ローカル IP アドレス、リージョンおよびゾーンの DNS 名がエンドポイントに割り当てられます。

クライアント側の DNS 名	名前
リージョン別	Vpce<0dc9a211a78c90f8>.api.vpce.example.com
IAD2 (1a )	us-east-1a-Vpce<0dc9a211a78c90f8>.api.vpce.example.com
IAD2 (1b )	us-east-1b-Vpce<0dc9a211a78c90f8>.api.vpce.example.com

デフォルトのプライベート DNS 名を指定し、購入者が VPC エンドポイントの作成時に [プライベート DNS 名を有効にする] (プライベートホストゾーンを関連付ける) を選択すると、サービスに接続するためのリージョンのデフォルトのプライベート DNS 名が購入者に表示されます。

名前	エイリアス	[Alias Hosted Zone ID]	(注意)
api.example.com	vpce<0dc9a211a78c90f8>. api.vpce.example.com	Z00AABBCCDD	IAD1 IAD2

付録: チェックリスト

次のチェックリストを使用して、 AWS Marketplace Seller Operations チームに送信する前に、製品を設定してテストしていることを確認します。

製品の作成チェックリスト

• VPC を作成 (または既存を使用) し、設定します。

• VPC 内にネットワークロードバランサーを作成して設定します。

• VPC エンドポイントサービスを作成して、ネットワークロードバランサーにサービスを登録します。

• VPC エンドポイントの設定に使用した AWS アカウント ID を AWS Marketplace Seller Operations チームに提供します。

• デフォルトのエンドポイントサービス名 (com.amazonaws.vpce.us-east-1.vpce-svc-0bbb070044a2164 など) を AWS Marketplace Seller Operations チームに提供します。

• ランダムに生成されたサービス DNS 名を上書きするには、ユーザーの使いやすいサービス DNS 名 (必須) を指定します。ユーザーの使いやすいサービス DNS 名に使用されているサブドメインの ACM から SSL 証明書をリクエストします。これらの証明書と、それらを Seller Operations チームにリクエストするために使用した AWS アカウント ID AWS Marketplace を提供します。

• 推奨: プライベート DNS 名を提供します。

• AWS PrivateLink テクノロジーを使用してサービスに接続するオプションを AWS Marketplace 購入者に通知し、許可するプロセスを作成します。購入者の AWS アカウント ID を許可されたアカウントのリストに追加します。 IDs

製品のテスト

• サービスが設定済みで、検出可能であることを確認します。

• サービスが Network Load Balancer を介して検出可能であることを確認します。

• 購入者が VPC エンドポイントを作成し、サービスにアクセスできることを確認します。サービスのセットアップに使用した AWS アカウントではない、所有しているアカウントを使用します。