AWS のサービス によるアクセス AWS PrivateLink - Amazon Virtual Private Cloud

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS のサービス によるアクセス AWS PrivateLink

エンドポイント AWS のサービス を使用して にアクセスします。デフォルトのサービスエンドポイントはパブリックインターフェイスであるため、インターネットゲートウェイを VPC に追加して、トラフィックが VPC から AWS のサービスに到達できるようにする必要があります。この設定がネットワークセキュリティ要件に合わない場合は、インターネットゲートウェイを使用せずに、VPC 内にある AWS のサービス かのように AWS PrivateLink を使用して VPC を に接続できます。

VPC エンドポイント AWS PrivateLink を使用して AWS のサービス 、 と統合された にプライベートにアクセスできます。インターネットゲートウェイを使用せずに、アプリケーションスタックのすべてのレイヤーを構築および管理できます。

料金

インターフェイス VPC エンドポイントが各アベイラビリティーゾーンでプロビジョニングされる 1 時間ごとに課金されます。また、処理されたデータの GB ごとに課金されます。詳細については、「AWS PrivateLink の料金」を参照してください。

概要

パブリックサービスエンドポイント AWS のサービス を介して にアクセスするか、 AWS のサービス を使用してサポートされている に接続できます AWS PrivateLink。この概要では、これらの方法を比較します。

パブリックサービスエンドポイント経由でアクセスする

次の図は、インスタンスがパブリックサービスエンドポイント AWS のサービス を介して にアクセスする方法を示しています。パブリックサブネットのインスタンス AWS のサービス から へのトラフィックは、VPC のインターネットゲートウェイにルーティングされ、次に にルーティングされます AWS のサービス。プライベートサブネットのインスタンスから AWS のサービス へのトラフィックは、NAT ゲートウェイ、VPC のためにインターネットゲートウェイ、 AWS のサービスの順にルーティングされます。このトラフィックはインターネットゲートウェイを通過しますが、 AWS ネットワークを離れることはありません。


        デフォルトでは、VPC から へのトラフィック AWS のサービス はインターネットゲートウェイを介してルーティングされますが、 AWS ネットワークを離れることはありません。
を通して接続する AWS PrivateLink

次の図は、インスタンスが AWS のサービス を介して にアクセスする方法を示しています AWS PrivateLink。まず、インターフェイス VPC エンドポイントを作成します。これは、ネットワークインターフェイス AWS のサービス を使用して VPC 内のサブネットと 間の接続を確立します。宛てのトラフィック AWS のサービス は、DNS を使用してエンドポイントネットワークインターフェイスのプライベート IP アドレスに解決され、VPC エンドポイントと 間の接続 AWS のサービス を使用して に送信されます AWS のサービス。


        では AWS PrivateLink、VPC から へのトラフィックは、サブネットとインターフェイス VPC エンドポイントによって AWS のサービス 提供される 間の接続 AWS のサービス を使用します。

AWS のサービス は接続リクエストを自動的に受け入れます。サービスは、VPC エンドポイントを介してリソースへのリクエストを開始することはできません。

DNS ホスト名

ほとんどの は、次の構文を持つリージョンレベルのパブリックエンドポイント AWS のサービス を提供しています。

protocol://service_code.region_code.amazonaws.com

例えば、us-east-2 CloudWatch の Amazon のパブリックエンドポイントは次のとおりです。

https://monitoring.us-east-2.amazonaws.com

では AWS PrivateLink、プライベートエンドポイントを使用してサービスにトラフィックを送信します。インターフェイス VPC エンドポイントを作成すると、VPC AWS のサービス からの との通信に使用できるリージョンおよびゾーン DNS 名が作成されます。

インターフェイス VPC エンドポイントのリージョンレベルの DNS 名の構文は次のとおりです。

endpoint_id.service_id.region.vpce.amazonaws.com

ゾーンレベルの DNS 名の構文は次のとおりです。

endpoint_id-az_name.service_id.region.vpce.amazonaws.com

のインターフェイス VPC エンドポイントを作成するときに AWS のサービス、プライベート DNS を有効にできます。プライベート DNS では、インターフェイス VPC エンドポイントを介したプライベート接続を活用しながら、パブリックエンドポイントの DNS 名を使用してサービスへのリクエストを引き続き行うことができます。詳細については、「DNS 解決」を参照してください。

次のdescribe-vpc-endpointsコマンドは、インターフェイスエンドポイントの DNS エントリを表示します。

aws ec2 describe-vpc-endpoints --vpc-endpoint-id vpce-099deb00b40f00e22 --query VpcEndpoints[*].DnsEntries

プライベート DNS 名が有効になってい CloudWatch る Amazon のインターフェイスエンドポイントの出力例を次に示します。最初のエントリは、リージョンレベルのプライベートエンドポイントです。次の 3 つのエントリは、ゾーンレベルのプライベートエンドポイントです。最後のエントリは、隠れたプライベートホストゾーンからのもので、パブリックエンドポイントに対するリクエストを、エンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決します。

[ [ { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "monitoring.us-east-2.amazonaws.com", "HostedZoneId": "Z06320943MMOWYG6MAVL9" } ] ]

DNS 解決

インターフェイス VPC エンドポイント用に作成される DNS レコードはパブリックです。したがって、これらの DNS 名はパブリックに解決可能です。ただし、VPC 外部からの DNS リクエストは引き続きエンドポイントのネットワークインターフェイスのプライベート IP アドレスを返すため、VPC にアクセスできない限り、これらの IP アドレスを使用してエンドポイントサービスにアクセスすることはできません。

プライベート DNS

インターフェイス VPC エンドポイントでプライベート DNS を有効にし、VPC で DNS ホスト名と DNS 解決の両方が有効になっている場合、非表示の AWSマネージドプライベートホストゾーンが作成されます。ホストゾーンにはサービスのデフォルトの DNS 名のレコードセットが含まれており、VPC のエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決されます。したがって、リージョンレベルのパブリックエンドポイント AWS のサービス を使用して にリクエストを送信する既存のアプリケーションがある場合、それらのリクエストはエンドポイントのネットワークインターフェイスを通過するようになり、それらのアプリケーションを変更する必要はありません。

Amazon は、「Route 53 Resolver」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。オンプレミスネットワークから VPC エンドポイントにアクセスしたい場合は、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 AWS Transit Gateway と の統合 AWS PrivateLink 」を参照してください Amazon Route 53 Resolver

サブネットとアベイラビリティーゾーン

アベイラビリティーゾーンごとに 1 つのサブネットを使用して VPC エンドポイントを設定できます。サブネット内の VPC エンドポイント用にエンドポイントネットワークインターフェイスを作成します。VPC エンドポイントの IP アドレスタイプに基づいて、サブネットから各エンドポイントネットワークインターフェイスに IP アドレスを割り当てます。エンドポイントのネットワークインターフェイスの IP アドレスは、VPC エンドポイントの存続期間中は変更されません。

本番環境では、高い可用性と耐障害性を実現するには、以下をお勧めします。

  • VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定し、これらのアベイラビリティーゾーン AWS のサービス の にアクセスする必要があるリソースをデプロイ AWS します。

  • VPC エンドポイントのプライベート DNS 名を設定します。

  • パブリックエンドポイントとも呼ばれるリージョン DNS 名 AWS のサービス を使用して にアクセスします。

次の図は、単一のアベイラビリティーゾーンにエンドポイントネットワークインターフェイス CloudWatch を持つ Amazon の VPC エンドポイントを示しています。VPC 内のサブネット内のいずれかのリソースがパブリックエンドポイントを使用して Amazon CloudWatch にアクセスすると、エンドポイントネットワークインターフェイスの IP アドレスにトラフィックが解決されます。これには、他のアベイラビリティーゾーン内のサブネットからのトラフィックが含まれます。ただし、アベイラビリティーゾーン 1 に障害が発生すると、アベイラビリティーゾーン 2 のリソースは Amazon にアクセスできなくなります CloudWatch。


        Amazon のインターフェイス VPC エンドポイントで CloudWatch、リージョン DNS 名を経由するトラフィックを持つ単一のアベイラビリティーゾーンに対して有効になります。

次の図は、2 つのアベイラビリティーゾーンにエンドポイントネットワークインターフェイス CloudWatch がある Amazon の VPC エンドポイントを示しています。VPC 内のサブネット内のいずれかのリソースがパブリックエンドポイント CloudWatch を使用して Amazon にアクセスする場合、ラウンドロビンアルゴリズムを使用してそれらの間で交互に、正常なエンドポイントネットワークインターフェイスを選択します。次に、選択したエンドポイントネットワークインターフェイスの IP アドレスへのトラフィックを解決します。


        Amazon のインターフェイス VPC エンドポイント CloudWatch。リージョンエンドポイントを通過するトラフィックを持つ複数のアベイラビリティーゾーンで有効になります。

ユースケースに適している場合は、同じアベイラビリティーゾーン内のエンドポイントネットワークインターフェイスを使用して、リソースから AWS のサービス にトラフィックを送信できます。そのためには、プライベートゾーンエンドポイントまたはエンドポイントネットワークインターフェイスの IP アドレスを使用します。


        Amazon のインターフェイス VPC エンドポイント CloudWatch。複数のアベイラビリティーゾーンで有効になっており、プライベートゾーンエンドポイントを経由するトラフィックがあります。

IP アドレスのタイプ

AWS のサービス は、パブリックエンドポイントを通じて IPv6 をサポートしていない場合でも、プライベートエンドポイントを通じて IPv6 をサポートできます。IPv6 をサポートするエンドポイントは、AAAA レコードを使用して DNS クエリに応答できます。

インターフェイスエンドポイント用に IPv6 を有効にするための要件
  • は、サービスエンドポイントを IPv6 経由で利用可能に AWS のサービス する必要があります。詳細については、「IPv6 サポートを表示する」を参照してください。

  • インターフェイスエンドポイントの IP アドレスのタイプは、次に説明するように、インターフェイスエンドポイントのサブネットと互換性がある必要があります。

    • [IPv4] — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。

    • [IPv6] — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。

    • [Dualstack] — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 の両方のアドレス範囲がある場合にのみサポートされます。

インターフェイス VPC エンドポイントが IPv4 をサポートしている場合、エンドポイントのネットワークインターフェイスは IPv4 アドレスを持ちます。インターフェイス VPC エンドポイントが IPv6 をサポートしている場合、エンドポイントのネットワークインターフェイスは IPv6 アドレスを持ちます。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、denyAllIgwTraffic が有効になっていることに注意してください。