インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする - Amazon Virtual Private Cloud

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイス VPC エンドポイント AWS のサービス を使用して にアクセスする

インターフェイス VPC エンドポイントを作成して AWS PrivateLink、多くの を含む のサービスに接続できます AWS のサービス。概要については、AWS PrivateLink の概念 および AWS のサービス を介したアクセス AWS PrivateLink を参照してください。

VPC から指定した各サブネット内にエンドポイントのネットワークインターフェイスを作成し、サブネットアドレス範囲からプライベート IP アドレスを割り当てます。エンドポイントのネットワークインターフェイスは、リクエスタマネージドネットワークインターフェイスです。 AWS アカウントで表示できますが、自ら管理することはできません。

時間単位の使用料金とデータ処理料金が課金されます。詳細については、「 インターフェイスエンドポイントの料金」を参照してください。

前提条件

  • VPC の にアクセスするリソース AWS のサービス をデプロイします。

  • プライベート DNS を使用するには、VPC の DNS ホスト名と DNS 解決を有効にする必要があります。詳細については、「Amazon VPC ユーザーガイド」の「DNS 属性の表示と更新」を参照してください。

  • インターフェイスエンドポイントで IPv6 を有効にするには、 が IPv6 経由のアクセスをサポート AWS のサービス している必要があります。詳細については、「IP アドレスのタイプ」を参照してください。

  • VPC 内のリソースからの予想されるトラフィックを許可するエンドポイントネットワークインターフェイスのセキュリティグループを作成します。例えば、 が HTTPS リクエストを に送信 AWS CLI できるようにするには AWS のサービス、セキュリティグループがインバウンド HTTPS トラフィックを許可する必要があります。

  • リソースがネットワーク ACL を持つサブネットにある場合は、ネットワーク ACL が VPC 内のリソースとエンドポイントネットワークインターフェイス間のトラフィックを許可していることを確認します。

  • AWS PrivateLink リソースにはクォータがあります。詳細については、「AWS PrivateLink クォータ」を参照してください。

VPC エンドポイントの作成

次の手順を使用して、 AWS のサービスに接続するインターフェイス VPC エンドポイントを作成します。

のインターフェイスエンドポイントを作成するには AWS のサービス
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

  3. [エンドポイントの作成] を選択します。

  4. [Service category] (サービスカテゴリ) で、AWS のサービス を選択します。

  5. [Service name] (サービス名) で、サービスを選択します。詳細については、「AWS のサービス と統合する AWS PrivateLink」を参照してください。

  6. [VPC] で、 AWS のサービスにアクセスする VPC を選択します。

  7. ステップ 5 で Amazon S3 のサービス名を選択し、「プライベート DNS サポート」を設定する場合は、[追加設定][DNS 名を有効にする] を選択します。この選択を行うと、自動的に [インバウンドエンドポイントでのみプライベート DNS を有効にする] が選択されます。Amazon S3 のインターフェイスエンドポイントにのみ、インバウンド Resolver エンドポイントでプライベート DNS を設定できます。Amazon S3 のゲートウェイエンドポイントがなく、[インバウンドエンドポイントに対してのみプライベート DNS を有効にする] を選択した場合、この手順の最後のステップを試みるとエラーが表示されます。

    ステップ 5 で Amazon S3 以外のサービスのサービス名を選択した場合は、[追加設定][DNS 名を有効にする] が既に選択されています。デフォルトを維持することをお勧めします。これにより、 AWS SDK を介して行われたリクエストなど、パブリックサービスエンドポイントを使用するリクエストが VPC エンドポイントに解決されます。

  8. [Subnets] (サブネット) で、 AWS のサービスにアクセスするアベイラビリティゾーンごとに 1 つのサブネットを選択します。同じアベイラビリティーゾーンから複数のサブネットを選択することはできません。詳細については、「サブネットとアベイラビリティーゾーン」を参照してください。

    選択した各サブネットでエンドポイントネットワークインターフェイスを作成します。デフォルトでは、サブネットの IP アドレス範囲から IP アドレスを選択し、エンドポイントのネットワークインターフェースに割り当てます。エンドポイントネットワークインターフェースの IP アドレスを選択するには、[IP アドレスの指定] を選択し、サブネットアドレス範囲から IPv4 アドレスを入力します。エンドポイントサービスが IPv6 をサポートしている場合は、サブネットアドレス範囲から IPv6 アドレスを入力することもできます。サブネット CIDR ブロックの最初の 4 つの IP アドレスと最後の IP アドレスは内部使用のために予約されているため、エンドポイントネットワークインターフェイスに指定することはできません。

  9. [IP address type] (IP アドレスのタイプ) で、次のオプションから選択します。

    • [IPv4] — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 のアドレス範囲があり、サービスが IPv4 リクエストを受け入れる場合にのみサポートされます。

    • [IPv6] — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットで、サービスが IIPv6 リクエストを受け入れる場合にのみサポートされます。

    • [Dualstack] — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 の両方のアドレス範囲があり、サービスが IPv4 リクエストと IPv6 リクエストの両方を受け入れる場合にのみサポートされます。

  10. [セキュリティグループ] で、VPC エンドポイントのエンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。デフォルトでは、VPC のデフォルトセキュリティグループが関連付けられます。

  11. [Policy] (ポリシー) で [Full access] (フルアクセス) を選択して、すべてのリソースに対するすべてのプリンシパルによる VPC エンドポイント経由のすべてのオペレーションを許可します。それ以外の場合は、[Custom] (カスタム) を選択して、VPC エンドポイント経由でリソースに対してアクションを実行するためにプリンシパルが持つ許可を制御する VPC エンドポイントポリシーをアタッチします。このオプションは、サービスが VPC エンドポイントポリシーをサポートしている場合にのみ使用できます。詳細については、「エンドポイントポリシー」を参照してください。

  12. (オプション) タグを追加するには、[新しいタグを追加] を選択し、そのタグのキーと値を入力します。

  13. [エンドポイントの作成] を選択します。

コマンドラインを使用してインターフェイスエンドポイントを作成するには

共有サブネット

自分と共有されているサブネットで VPC エンドポイントを作成、説明、変更、または削除することはできません。ただし、VPC エンドポイントを使用することはできます。