を通じてサービスを共有する AWS PrivateLink - Amazon Virtual Private Cloud
概要DNS ホスト名プライベート DNSクロスリージョンアクセスIP アドレスのタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を通じてサービスを共有する AWS PrivateLink

エンドポイントサービスと呼ばれる独自の AWS PrivateLink 搭載サービスをホストし、他の AWS のお客様と共有できます。

内容

概要

次の図は、 でホストされているサービスを他の AWS のお客様 AWS と共有する方法と、それらのお客様がサービスに接続する方法を示しています。サービスプロバイダーは、サービスフロントエンドVPCとして に Network Load Balancer を作成します。次に、VPCエンドポイントサービス設定を作成するときに、このロードバランサーを選択します。特定の AWS プリンシパルにアクセス許可を付与して、サービスに接続できるようにします。サービスコンシューマーとして、顧客はインターフェイスVPCエンドポイントを作成します。これにより、 VPCとエンドポイントサービスから選択したサブネット間の接続が確立されます。ロードバランサーは、サービスコンシューマーからリクエストを受け取ってサービスをホスティングしているターゲットにルーティングします。

サービスコンシューマーは、サービスプロバイダーがホストするエンドポイントサービスに接続します。

低レイテンシーと高可用性を得るために、少なくとも 2 つのアベイラビリティーゾーンでサービスを使用可能にすることをお勧めします。

DNS ホスト名

サービスプロバイダーがVPCエンドポイントサービスを作成すると、 はサービスのエンドポイント固有のDNSホスト名 AWS を生成します。これらの名前の構文は次のとおりです。

endpoint_service_id.region.vpce.amazonaws.com

us-east-2 リージョンのVPCエンドポイントサービスのDNSホスト名の例を次に示します。

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

サービスコンシューマーがインターフェイスVPCエンドポイントを作成すると、サービスコンシューマーがエンドポイントサービスと通信するために使用できるリージョン名とゾーンDNS名が作成されます。リージョンレベルの名前の構文は次のとおりです。

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

ゾーンレベルの名前の構文は次のとおりです。

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

プライベート DNS

サービスプロバイダーはエンドポイントサービスのプライベートDNS名を関連付けることもできます。これにより、サービスコンシューマーは既存のDNS名前を使用してサービスに引き続きアクセスできます。サービスプロバイダーがプライベートDNS名をエンドポイントサービスに関連付けると、サービスコンシューマーはインターフェイスエンドポイントのプライベートDNS名を有効にできます。サービスプロバイダーがプライベート を有効にしていない場合DNS、サービスコンシューマーはVPCエンドポイントサービスのパブリックDNS名を使用するようにアプリケーションを更新する必要がある場合があります。詳細については、「DNS 名前の管理」を参照してください。

クロスリージョンアクセス

サービスプロバイダーは、1 つのリージョンでサービスをホストし、サポートされているリージョンのセットで利用可能にすることができます。サービスコンシューマーは、エンドポイントの作成時にサービスリージョンを選択します。

アクセス許可

  • デフォルトでは、IAMエンティティには、エンドポイントサービスを複数のリージョンで使用できるようにしたり、リージョン間でエンドポイントサービスにアクセスしたりするアクセス許可はありません。クロスリージョンアクセスに必要なアクセス許可を付与するために、IAM管理者はアクセスvpce:AllowMultiRegion許可のみのアクションを許可するIAMポリシーを作成できます。

  • エンドポイントサービスの作成時にIAMエンティティがサポート対象リージョンとして指定できるリージョンを制御するには、 ec2:VpceSupportedRegion条件キーを使用します。

  • IAM エンティティがVPCエンドポイントの作成時にサービスリージョンとして指定できるリージョンを制御するには、 ec2:VpceServiceRegion条件キーを使用します。

考慮事項

  • サービスプロバイダーは、オプトインリージョンをエンドポイントサービスのサポートされているリージョンとして追加する前に、オプトインリージョンにオプトインする必要があります。

  • エンドポイントサービスは、ホストリージョンからアクセスできる必要があります。サポートされているリージョンのセットからホストリージョンを削除することはできません。冗長性を確保するために、エンドポイントサービスを複数のリージョンにデプロイし、エンドポイントサービスごとにクロスリージョンアクセスを有効にすることができます。

  • サービスコンシューマーは、エンドポイントのサービスリージョンとして選択する前に、オプトインリージョンにオプトインする必要があります。可能な限り、サービスコンシューマーは、クロスリージョン接続ではなくリージョン内接続を使用してサービスにアクセスすることをお勧めします。リージョン内接続により、レイテンシーとコストが低くなります。

  • サービスプロバイダーがサポートされているリージョンのセットからリージョンを削除した場合、サービスコンシューマーは新しいエンドポイントを作成するときにそのリージョンをサービスリージョンとして選択できません。これは、このリージョンをサービスリージョンとして使用する既存のエンドポイントからのエンドポイントサービスへのアクセスには影響しないことに注意してください。

  • 高可用性を実現するには、プロバイダーとコンシューマーの両方が少なくとも 2 つのアベイラビリティーゾーンを使用する必要があります。クロスリージョンアクセスでは、プロバイダーとコンシューマーが同じアベイラビリティーゾーンを使用する必要はありません。

  • クロスリージョンアクセスでは、 はアベイラビリティーゾーン間のフェイルオーバー AWS PrivateLink を管理します。リージョン間のフェイルオーバーは管理されません。

  • クロスリージョンアクセスは、わかりやすいDNS名前 AWS Marketplace のサービスではサポートされていません。

  • クロスリージョンアクセスは、TCPアイドルタイムアウト用にカスタム値が設定された Network Load Balancer ではサポートされていません。

  • クロスリージョンアクセスはUDP、フラグメント化ではサポートされていません。

IP アドレスのタイプ

サービスプロバイダーは、バックエンドサーバーが のみをサポートしている場合でもIPv6、IPv4、IPv6、または IPv4と の両方を介してサービスコンシューマーがサービスエンドポイントを利用できるようにしますIPv4。デュアルスタックサポートを有効にすると、既存のコンシューマーは引き続き IPv4を使用してサービスにアクセスでき、新しいコンシューマーは IPv6 を使用してサービスにアクセスすることを選択できます。

インターフェイスVPCエンドポイントが をサポートしている場合IPv4、エンドポイントネットワークインターフェイスには IPv4 アドレスがあります。インターフェイスVPCエンドポイントが をサポートしている場合IPv6、エンドポイントネットワークインターフェイスには IPv6 アドレスがあります。エンドポイントネットワークインターフェイスのIPv6アドレスにインターネットからアクセスできません。IPv6 アドレスを使用してエンドポイントネットワークインターフェイスを記述する場合は、 denyAllIgwTraffic が有効になっていることに注意してください。

エンドポイントサービスIPv6で を有効にするための要件

  • エンドポイントサービスの VPCおよび サブネットには、関連付けられたIPv6CIDRブロックが必要です。

  • エンドポイントサービスのすべての Network Load Balancers は、dualstack IP アドレスのタイプを使用する必要があります。ターゲットはIPv6トラフィックをサポートする必要はありません。サービスがプロキシプロトコルバージョン 2 ヘッダーからソース IP アドレスを処理する場合は、IPv6アドレスを処理する必要があります。

インターフェイスエンドポイントIPv6で を有効にするための要件

  • エンドポイントサービスはIPv6リクエストをサポートしている必要があります。

  • インターフェイスエンドポイントの IP アドレスのタイプは、次に説明するように、インターフェイスエンドポイントのサブネットと互換性がある必要があります。

    • IPv4 – エンドポイントネットワークインターフェイスにIPv4アドレスを割り当てます。このオプションは、選択したすべてのサブネットにIPv4アドレス範囲がある場合にのみサポートされます。

    • IPv6 – エンドポイントネットワークインターフェイスにIPv6アドレスを割り当てます。このオプションは、選択したすべてのサブネットがサブネットIPv6のみの場合にのみサポートされます。

    • デュアルスタック — エンドポイントネットワークインターフェイスに IPv4と IPv6 アドレスの両方を割り当てます。このオプションは、選択したすべてのサブネットに IPv4と の両方のIPv6アドレス範囲がある場合にのみサポートされます。

DNS インターフェイスエンドポイントの IP アドレスタイプの記録

インターフェイスエンドポイントがサポートするDNSレコード IP アドレスタイプによって、作成するDNSレコードが決まります。インターフェイスエンドポイントのDNSレコード IP アドレスタイプは、以下で説明するように、インターフェイスエンドポイントの IP アドレスタイプと互換性がある必要があります。

  • IPv4 – プライベート、リージョン、およびゾーンDNS名のレコードを作成します。IP アドレスタイプは IPv4またはデュアルスタックである必要があります。

  • IPv6 – プライベート、リージョン、およびゾーンDNS名のAAAAレコードを作成します。IP アドレスタイプは IPv6またはデュアルスタックである必要があります。

  • デュアルスタック – プライベート、リージョン、およびゾーンDNS名の A レコードと AAAAレコードを作成します。IP アドレスのタイプは [Dualstack] である必要があります。