AWS のサービス を介したアクセス AWS PrivateLink - Amazon Virtual Private Cloud

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS のサービス を介したアクセス AWS PrivateLink

エンドポイント AWS のサービス を使用して にアクセスします。デフォルトのサービスエンドポイントはパブリックインターフェイスであるため、トラフィックが から に到達VPCできるように、インターネットゲートウェイVPCを に追加する必要があります AWS のサービス。この設定がネットワークセキュリティ要件と連携しない場合は、 AWS PrivateLink を使用して、インターネットゲートウェイを使用せずにVPC、 内にあるVPC AWS のサービス かのように に接続できます。

VPC エンドポイント AWS PrivateLink を使用して、 と統合 AWS のサービス する にプライベートにアクセスできます。インターネットゲートウェイを使用せずに、アプリケーションスタックのすべてのレイヤーを構築および管理できます。

料金

インターフェイスVPCエンドポイントが各アベイラビリティーゾーンでプロビジョニングされる 1 時間ごとに課金されます。また、処理されたデータの GB ごとに課金されます。詳細については、「AWS PrivateLink 料金」を参照してください。

概要

パブリックサービスエンドポイント AWS のサービス を介して にアクセスするか、 AWS のサービス を使用してサポートされている に接続できます AWS PrivateLink。この概要では、これらの方法を比較します。

パブリックサービスエンドポイント経由でアクセスする

次の図は、インスタンスがパブリックサービスエンドポイント AWS のサービス を介して にアクセスする方法を示しています。パブリックサブネットのインスタンス AWS のサービス から へのトラフィックは、 のインターネットゲートウェイにルーティングVPCされ、その後 にルーティングされます AWS のサービス。プライベートサブネットのインスタンス AWS のサービス から へのトラフィックは、NATゲートウェイにルーティングされ、次に のインターネットゲートウェイにルーティングされVPC、次に にルーティングされます AWS のサービス。このトラフィックはインターネットゲートウェイを通過しますが、 AWS ネットワークを離れることはありません。

へのトラフィックは、インターネットゲートウェイVPCを介して を AWS のサービス 離れますが、 AWS ネットワーク内にとどまります。
経由で接続する AWS PrivateLink

次の図は、インスタンスが AWS のサービス を介して にアクセスする方法を示しています AWS PrivateLink。まず、ネットワークインターフェイス AWS のサービス を使用して VPCと のサブネット間の接続を確立するインターフェイスVPCエンドポイントを作成します。宛てのトラフィック AWS のサービス は、 を使用してエンドポイントネットワークインターフェイスのプライベート IP アドレスに解決されDNS、VPCエンドポイントと 間の接続 AWS のサービス を使用して に送信されます AWS のサービス。

サブネットからのトラフィックは、インターフェイスVPCエンドポイントを使用して に接続します AWS のサービス。

AWS のサービス は接続リクエストを自動的に受け入れます。サービスは、VPCエンドポイントを介してリソースへのリクエストを開始できません。

DNS ホスト名

ほとんどの AWS のサービス は、次の構文を持つパブリックリージョンエンドポイントを提供します。

protocol://service_code.region_code.amazonaws.com

例えば、us-east-2 CloudWatch の Amazon のパブリックエンドポイントは次のとおりです。

https://monitoring.us-east-2.amazonaws.com

では AWS PrivateLink、プライベートエンドポイントを使用してトラフィックをサービスに送信します。インターフェイスVPCエンドポイントを作成すると、 AWS のサービス からの との通信に使用できるリージョン名とゾーンDNS名が作成されますVPC。

インターフェイスVPCエンドポイントのリージョンDNS名には、次の構文があります。

endpoint_id.service_id.region.vpce.amazonaws.com

ゾーンDNS名には次の構文があります。

endpoint_id-az_name.service_id.region.vpce.amazonaws.com

のインターフェイスVPCエンドポイントを作成するときに AWS のサービス、プライベート DNSを有効にできます。プライベート ではDNS、インターフェイスエンドポイントを介したプライベート接続を活用しながら、パブリックエンドポイントDNSの名前を使用してサービスにリクエストを引き続き行うことができますVPC。詳細については、「DNS 解像度」を参照してください。

次のdescribe-vpc-endpointsコマンドは、インターフェイスエンドポイントのDNSエントリを表示します。

aws ec2 describe-vpc-endpoints --vpc-endpoint-id vpce-099deb00b40f00e22 --query VpcEndpoints[*].DnsEntries

プライベートDNS名が有効になっている Amazon のインターフェイスエンドポイントの出力例 CloudWatch を次に示します。最初のエントリは、リージョンレベルのプライベートエンドポイントです。次の 3 つのエントリは、ゾーンレベルのプライベートエンドポイントです。最後のエントリは、隠れたプライベートホストゾーンからのもので、パブリックエンドポイントに対するリクエストを、エンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決します。

[ [ { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com", "HostedZoneId": "ZC8PG0KIFKBRI" }, { "DnsName": "monitoring.us-east-2.amazonaws.com", "HostedZoneId": "Z06320943MMOWYG6MAVL9" } ] ]

DNS 解像度

インターフェイスVPCエンドポイント用に作成するDNSレコードはパブリックです。したがって、これらのDNS名前はパブリックに解決可能です。ただし、 の外部からのDNSリクエストVPCはエンドポイントネットワークインターフェイスのプライベート IP アドレスを引き続き返すため、これらの IP アドレスは、 へのアクセス権がない限り、エンドポイントサービスへのアクセスには使用できませんVPC。

プライベート DNS

インターフェイスVPCエンドポイントDNSでプライベートを有効にし、 VPCでDNSホスト名とDNS解像度の両方が有効になっている場合、非表示の AWSマネージドプライベートホストゾーンが作成されます。ホストゾーンには、 のエンドポイントネットワークインターフェイスのプライベート IP アドレスに解決されるサービスのデフォルトDNS名のレコードセットが含まれていますVPC。したがって、パブリックリージョンエンドポイント AWS のサービス を使用して にリクエストを送信する既存のアプリケーションがある場合、それらのリクエストはエンドポイントネットワークインターフェイスを通過するようになり、それらのアプリケーションに変更を加える必要はありません。

のVPCエンドポイントのプライベートDNS名を有効にすることをお勧めします AWS のサービス。これにより、 を介して行われたリクエストなど、パブリックサービスエンドポイントを使用するリクエストが AWS SDKエンドポイントに解決されますVPC。

Amazon はVPC、Route 53 Resolver と呼ばれる 用のDNSサーバーを提供します。Route 53 Resolver は、プライベートホストゾーンのローカルVPCドメイン名とレコードを自動的に解決します。ただし、 の外部から Route 53 Resolver を使用することはできませんVPC。オンプレミスネットワークからVPCエンドポイントにアクセスする場合は、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 AWS Transit Gateway と の統合 AWS PrivateLink 」および Amazon Route 53 Resolver「」を参照してください。

サブネットとアベイラビリティーゾーン

アベイラビリティーゾーンごとに 1 つのサブネットを使用してVPCエンドポイントを設定できます。サブネット内のエンドポイントのVPCエンドポイントネットワークインターフェイスを作成します。エンドポイントの IP アドレスタイプに基づいて、サブネットから各エンドポイントネットワークインターフェイスに IP アドレスを割り当てます。 VPCエンドポイントネットワークインターフェイスの IP アドレスは、VPCエンドポイントの存続期間中は変更されません。

本番環境では、高い可用性と耐障害性を実現するには、以下をお勧めします。

  • VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定し、これらのアベイラビリティーゾーン AWS のサービス の にアクセスする必要があるリソースを AWS デプロイします。

  • VPC エンドポイントのプライベートDNS名を設定します。

  • パブリックエンドポイントとも呼ばれるリージョンDNS名 AWS のサービス を使用して にアクセスします。

次の図は、単一のアベイラビリティーゾーンにVPCエンドポイントネットワークインターフェイス CloudWatch を持つ Amazon のエンドポイントを示しています。サブネット内のいずれかのリソースがパブリックエンドポイントを使用して Amazon CloudWatch VPCにアクセスすると、エンドポイントネットワークインターフェイスの IP アドレスにトラフィックが解決されます。これには、他のアベイラビリティーゾーン内のサブネットからのトラフィックが含まれます。ただし、アベイラビリティーゾーン 1 に障害が発生した場合、アベイラビリティーゾーン 2 のリソースは Amazon にアクセスできなくなります CloudWatch。

1 つのアベイラビリティーゾーンに対して CloudWatch 有効になっている Amazon のインターフェイスVPCエンドポイント。

次の図は、2 つのアベイラビリティーゾーンにVPCエンドポイントネットワークインターフェイス CloudWatch を持つ Amazon のエンドポイントを示しています。サブネット内のいずれかのリソースがパブリックエンドポイント CloudWatch を使用して Amazon VPCにアクセスする場合、ラウンドロビンアルゴリズムを使用してそれらの間で交互に、正常なエンドポイントネットワークインターフェイスを選択します。次に、選択したエンドポイントネットワークインターフェイスの IP アドレスへのトラフィックを解決します。

複数のアベイラビリティーゾーンで CloudWatch 有効になっている Amazon のインターフェイスVPCエンドポイント。

ユースケースに適している場合は、同じアベイラビリティーゾーン内のエンドポイントネットワークインターフェイスを使用して、リソースから AWS のサービス にトラフィックを送信できます。そのためには、プライベートゾーンエンドポイントまたはエンドポイントネットワークインターフェイスの IP アドレスを使用します。

プライベートゾーンVPCエンドポイントを使用するトラフィックを含むインターフェイスエンドポイント。

IP アドレスのタイプ

AWS のサービス は、パブリックエンドポイントIPv6を介して をサポートしていない場合でも、プライベートエンドポイントIPv6を介して をサポートできます。をサポートするエンドポイントは、 AAAA レコードでDNSクエリに応答IPv6できます。

インターフェイスエンドポイントIPv6で を有効にするための要件
  • は、サービスエンドポイントを 経由で利用可能に AWS のサービス する必要がありますIPv6。詳細については、「IPv6 サポートを表示する」を参照してください。

  • インターフェイスエンドポイントの IP アドレスのタイプは、次に説明するように、インターフェイスエンドポイントのサブネットと互換性がある必要があります。

    • IPv4 – エンドポイントネットワークインターフェイスにIPv4アドレスを割り当てます。このオプションは、選択したすべてのサブネットにIPv4アドレス範囲がある場合にのみサポートされます。

    • IPv6 – エンドポイントネットワークインターフェイスにIPv6アドレスを割り当てます。このオプションは、選択したすべてのサブネットがサブネットIPv6のみである場合にのみサポートされます。

    • デュアルスタック — エンドポイントネットワークインターフェイスに IPv4と IPv6 アドレスの両方を割り当てます。このオプションは、選択したすべてのサブネットに IPv4と IPv6 アドレス範囲の両方がある場合にのみサポートされます。

インターフェイスVPCエンドポイントが をサポートしている場合IPv4、エンドポイントネットワークインターフェイスには IPv4 アドレスがあります。インターフェイスVPCエンドポイントが をサポートしている場合IPv6、エンドポイントネットワークインターフェイスには IPv6 アドレスがあります。エンドポイントネットワークインターフェイスのIPv6アドレスにインターネットからアクセスできません。IPv6 アドレスを使用してエンドポイントネットワークインターフェイスを記述する場合は、 denyAllIgwTraffic が有効になっていることに注意してください。