AWS PrivateLink - Amazon Virtual Private Cloud の接続オプション

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS PrivateLink

AWS PrivateLink では、一部の AWS のサービス、他の AWS アカウントによってホストされるサービス (エンドポイントサービスと呼ばれます)、およびサポートされているAWS Marketplaceパートナーサービスに、VPC 内のプライベート IP アドレス経由で接続できます。インターフェイスエンドポイントは、VPC のサブネット内の Elastic Network Interface と IP アドレスを使用して、VPC 内で直接作成されます。つまり、VPC セキュリティグループを使用してエンドポイントへのアクセスを管理できます。

AWS Privatelink を示す図。
AWS PrivateLink

プライベート IP アドレスを使用して、AWS ネットワーク内で別の VPC によって提供されるサービスを安全に使用する場合は、このアプローチをお勧めします。または、 AWS PrivateLinkは VPCs の IP アドレスが重複している場合に適しています。

AWS PrivateLink は IPv6 を完全にサポートしますが、デュアルスタックを使用するには、送信先 VPCs 、VPC サブネット、Network Load Balancer、および DNS 名の両方を有効または変更する必要があります。これらの前提条件が満たされると、エンドポイントのサービス設定で IPv6 を有効にできます。

インターフェイスエンドポイントは、VPC のサブネット内の Elastic Network Interface と IP アドレスを使用して、VPC 内で直接作成されます。つまり、VPC セキュリティグループを使用して、エンドポイントへのネットワークアクセスを管理できます。

インターフェイスエンドポイントまたはゲートウェイエンドポイントを作成するときに、エンドポイントポリシーをアタッチすることもできます。エンドポイントポリシーは、VPC エンドポイントを使用してエンドポイントサービスにアクセスできる AWS プリンシパル (AWS アカウント、IAM ユーザー、ロール) を制御します。

1 つのエンドポイントに複数のポリシーを関連付けることはできません。ただし、エンドポイントポリシーはいつでも変更できます。

エンドポイントポリシーは、IAM ユーザーポリシーやサービス固有のポリシー (Amazon S3 バケットポリシーなど) を上書きまたは置き換えません。Amazon S3 に接続するためにインターフェイスエンドポイントを使用する場合、Amazon S3 バケットポリシーを使用して、特定のエンドポイントまたは特定の VPC からのバケットへのアクセスを制御できます。

追加リソース