AWS の使用 PrivateLink とAWS Marketplace - AWS Marketplace

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS の使用 PrivateLink とAWS Marketplace

AWS Marketplace は AWS PrivateLink をサポートしています。これは、Amazon ネットワークを使用して、AWS Marketplace で販売する製品へのアクセスを購入者に許可するテクノロジーです。このドキュメントでは、Amazon Virtual Private Cloud (VPC) エンドポイントを介して製品を設定および配信するプロセスの概要を示します。AWS PrivateLink技術。

このドキュメントでは、AWS のいくつかのサービスと AWS Marketplace 環境に関する実務知識が読者にあることを前提としています。

イントロダクション

としてAWS Marketplaceの販売者の場合、Amazon VPC エンドポイントを介して販売者のサービスにアクセスすることを購入者に許可できます。このアプローチにより、購入者は AWS PrivateLink テクノロジーを使用して Amazon ネットワーク経由で販売者のサービスにアクセスできます。AWS Marketplace を使用してこのオファリングを作成および配信すると、購入者は AWS Marketplace でサービスを検索できます。購入者は、VPC エンドポイントを作成するための使用可能なサービスのリストで、製品を見つけることもできます。

VPC エンドポイントは、NAT デバイス、VPN 接続、AWS Direct Connect を介してインターネットにアクセスすることなく、AWS の顧客が各自の VPC と AWS の別のサービス間でプライベート接続を作成できるようにする仮想デバイスです。販売者は AWS Marketplace でエンドポイントサービスを作成できます。これにより、購入者はこのテクノロジーを使用して販売者のサービスに接続できます。この接続方法は、インターネット経由ではなく、Amazon のプライベートネットワーク経由でサービスにアクセスするため、購入者にとってより安全です。

サービスを提供するリージョンごとに、サービスエンドポイントを作成することにより、リソースを新規作成するか既存のリソースを使用して VPC を設定し、サービスインスタンスと Network Load Balancer をセットアップして、サービスを Network Load Balancer に登録します。これらのステップを完了し、サービスをテストしたら、設定情報を AWS Marketplace Seller Operations チームに提供します。

AWSでは、購入者が VPC エンドポイントを作成するときに使用できるプライベート DNS 名を提供することをお勧めします。

購入者は VPC エンドポイントを作成するときに、オプションとして、プライベート DNS 名を有効にすることができます。このオプションを選択すると、購入者の VPC サービスによってプライベートホストゾーンが設定されます。プライベート DNS 名を指定すると、購入者はこれを使用して販売者のサービスに接続するように VPC エンドポイントを設定できます。購入者のプライベートホストゾーンで、プライベート DNS 名 (api.example.com) は、エンドポイントサービス用にランダムに生成された DNS 名 (vpce-11111111111111111-yyyyyyyy.api.vpce.example.com) をポイントします。購入者の EC2 インスタンスは、複数の異なる VPC 間で同じ統一された DNS 名 (api.example.com) を呼び出します。また、パブリックとプライベートの DNS 名が同じであれば、購入者は VPC の内部または外部からサービスにアクセスする際に同じパブリック名を使用できます。

AWS Marketplace でサービスを利用可能にするためのサポートについては、AWS Marketplace Seller Operations チームにお問い合わせください。AWS Marketplace の購入者が販売者のサービスにサブスクライブして VPC エンドポイントを作成すると、サービスが [ご使用の AWS Marketplace サービス] に表示されます。MCO チームは、VPC エンドポイントを作成するときに、サービスを検出しやすいようにユーザーフレンドリな DNS 名を使用します。

製品は SaaS(Software as a Service) 製品として作成されます。計測と請求の方法は、AWS Marketplace の他の SaaS 製品と同じです。

製品の設定

Amazon VPC エンドポイント経由で製品を使用できるように設定するには:

  1. 既存の Amazon VPC を作成または使用します。

  2. 製品の Amazon EC2 インスタンス (複数可) を作成 (または既存のインスタンスを使用) します。

  3. の作成ネットワークロードバランancer製品を提供する各リージョンで配信されます。AWSすべて含めることをお勧めしますアベイラビリティーゾーンリージョンの場合は (AZ)。

  4. Amazon VPC コンソール、CLI、またはサポートされている SDK を使用して、VPC エンドポイントサービスを作成します。

  5. Network Load Balancer 経由でサービスにアクセスできることを確認します。

  6. ユーザーフレンドリな DNS 名の証明書を AWS Certificate Manager (ACM) にリクエストします。ACM は証明書を発行する前に、証明書リクエストのドメイン名の所有者または管理者を検証します。

  7. ユーザーが使いやすい DNS 名 (api.vpce.example.com など) のサブドメインを、MCO チームから提供されたネームサーバーに委任します。DNS システムでは、DNS 名 (vpce-0ac6c347a78c347a78c347a78c347a78c6c347a78c6c347a78c6c347a78c6c347a78c347a78c347a78c347a78c347a78c347a78c347a78c347a78c347a78c

  8. 購入者の AWS アカウントへのアクセスを許可します。

    [Note:] (メモ:) サポートされている SDK または次の CLI コマンドを使用して、アカウントへのアクセスを自動化できます。aws vpcev2 modify-vpc-endpoint-service-アクセス権 —service-id vpce-svc-0123456789abcdef1 —add-allowed-principalsarn: aws: iam: 1211111111: root arn: aws: aws: 12345222: ルート。

AWS Marketplace への製品の送信

AWS Marketplace にサービスを発行するプロセスでは、AWS Marketplace Seller Operations チームと協力します。送信するには PrivateLink-対応製品:

  1. 次の情報を AWS Marketplace Seller Operations チームに E メールで送信します。

    1. エンドポイントと、エンドポイントの作成に使用する AWS アカウント。エンドポイントは次のようになります: com.amazonaws.vpce.us-east-1.vpce-svc-0daa010345a21646

    2. ユーザーが使いやすいサービスの DNS 名。これは、AWS Marketplace の購入者が製品にアクセスするために使用する DNS 名です。

    3. 証明書のリクエストに使用した AWS アカウントと、購入者が VPC エンドポイントへのアクセスに使用するプライベート DNS 名。

      AWS Marketplace の MCO チームは、登録するサービスに使用する会社の ID と DNS 名 (api.vpce.example.com など) を検証します。検証後、DNS 名はデフォルトのベースエンドポイントの DNS 名よりも優先されます。

VPC エンドポイントへの購入者のアクセス

VPC エンドポイントを作成する AWS Marketplace の購入者は、以下の場合にサービスを検出できます。

  • このページで前述した販売者のプロセスに従って、製品を新規作成したか、既存の製品を使用した場合。

  • 購入者がサービスをサブスクライブした場合。

  • 許可されたアカウントのリストに購入者の AWS アカウントを追加した場合。

購入者が VPC エンドポイントを作成する場合、オプションとして、プライベートホストゾーンを VPC と関連付けることができます。ホストゾーンにはサービスのデフォルトのプライベート DNS 名 (など) のレコードセットが含まれており、VPC のエンドポイントネットワークインターフェイスのプライベート IP アドレスに解決されます。

AWS Marketplace のサービスも含めて、購入者がホストするエンドポイントは、すべてのアカウントにアクセス許可 (「*」アクセス許可) を提供できます。ただし、この方法を使用すると、サービス名で検索しない限り、Describe 呼び出しやコンソールにサービスが表示されません。Describ 呼び出しでサービスを表示するには、購入者の AWS アカウントを明示的にサービスの許可リストに追加する必要があります。

サービスにアクセスする場合、購入者は次の操作を行います。

  1. AWS Marketplace でサービスを検索し、サブスクライブします。

  2. を使用するAWS Command Line Interface(AWS CLI)、API、または Amazon VPC コンソールを使用してサービスを検索し、使用するサブネットと AZ でサービスに接続するための VPC エンドポイントを確立します。エンドポイントは、サブネットに Elastic Network Interface として表示されます。ローカル IP アドレス、リージョンおよびゾーンの DNS 名がエンドポイントに割り当てられます。

クライアント側の DNS 名 名前

リージョン別

Vpce<0dc9a211a78c90f8>.api.vpce.example.com

IAD2 (1a )

us-east-1a-Vpce<0dc9a211a78c90f8>.api.vpce.example.com

IAD2 (1b )

us-east-1b-Vpce<0dc9a211a78c90f8>.api.vpce.example.com

デフォルトのプライベート DNS 名を指定し、購入者がプライベート DNS 名の使用(プライベートホストゾーンを関連付ける) VPC エンドポイントを作成するとき、サービスに接続するためのリージョンのデフォルトのプライベート DNS 名が購入者に表示されます。

名前 エイリアス [Alias Hosted Zone ID] (注意)
api.example.com vpce<0dc9a211a78c90f8>. api.vpce.example.com Z00AABBCCDD

IAD1

IAD2

付録: チェックリスト

次のチェックリストを使用して、MCO チームに製品を送信する前に、製品の設定とテストを行ってください。

製品の作成チェックリスト

  • VPC を作成 (または既存を使用) し、設定します。

  • VPC 内にネットワークロードバランサーを作成して設定します。

  • VPC エンドポイントサービスを作成して、ネットワークロードバランサーにサービスを登録します。

  • VPC エンドポイントの設定に使用した AWS アカウント ID を MCO に提供します。

  • MCO にデフォルトのエンドポイントサービス名 (たとえば、com.amazonaws.vpce.us-east-1.vpce-svc-0bbb070044a2164) を指定します。

  • ランダムに生成されたサービス DNS 名を上書きするには、ユーザーの使いやすいサービス DNS 名 (必須) を指定します。ユーザーの使いやすいサービス DNS 名に使用されているサブドメインの ACM から SSL 証明書をリクエストします。これらの証明書と、これらをリクエストするために使用した AWS アカウント ID を MCO チームに提供します。

  • 推奨: プライベート DNS 名を指定します。

  • AWS PrivateLink テクノロジーを使用してサービスに接続するためのオプションを AWS Marketplace 購入者に通知して許可するためのプロセスを作成します。購入者の AWS アカウント ID を、許可されたアカウントのリストに追加します。

製品のテスト

  • サービスが設定済みで、検出可能であることを確認します。

  • サービスが Network Load Balancer を介して検出可能であることを確認します。

  • 購入者が VPC エンドポイントを作成し、サービスにアクセスできることを確認します。サービスの設定に使用したアカウント以外の、自己所有の AWS アカウントを使用します。