DynamoDB Accelerator (DAX) での AWS PrivateLink の使用 - Amazon DynamoDB
DynamoDB Accelerator (DAX) 用 AWS PrivateLink を使用する際の考慮事項AWS PrivateLink と DAX の連携方法DAX のインターフェイスエンドポイントの作成その他のリソース

DynamoDB Accelerator (DAX) での AWS PrivateLink の使用

DynamoDB Accelerator (DAX) 用 AWS PrivateLink を使用すると、仮想プライベートクラウド (VPC) 内のプライベート IP アドレスを介して、CreateClusterDescribeClustersDeleteCluster などの DAX 管理 API に安全にアクセスできます。この機能を使用すると、パブリックインターネットにトラフィックを公開することなく、アプリケーションから DAX サービスにプライベートにアクセスできます。

DAX PrivateLink はデュアルスタックエンドポイント (dax.{region}.api.aws) をサポートし、IPv4 と IPv6 の両方の接続を可能にします。DAX 用 AWS PrivateLink を使用すると、お客様はプライベート DNS 名を使用してサービスにアクセスできます。デュアルスタックのエンドポイントサポートにより、ネットワークのプライバシーを維持しながら透過的な接続が確保されます。これにより、SDK 設定を変更することなく、パブリックインターネットと VPC エンドポイントの両方から DAX にアクセスできます。

DynamoDB Accelerator (DAX) 用 AWS PrivateLink を実装するときは、いくつかの重要な考慮事項を考慮する必要があります。

DAX のインターフェイスエンドポイントを設定する前に、次の点を考慮してください。

  • DAX インターフェイスエンドポイントは、同じ AWS リージョン内の DAX 管理 API へのアクセスのみをサポートします。インターフェイスエンドポイントを使用して、他のリージョンの DAX 管理 API にアクセスすることはできません。

  • DAX 管理のためにAWS マネジメントコンソールにプライベートにアクセスするには、com.amazonaws.region.console や関連サービスなどのサービス用の追加の VPC エンドポイントを作成する必要がある場合があります。

  • DAX へのインターフェイスエンドポイントの作成と使用には料金がかかります。料金情報については、「AWS PrivateLink の料金」を参照してください。

DAX のインターフェイスエンドポイントを作成する場合。

  1. AWS は、インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。

  2. これらは、DAX 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

  3. その後、VPC 内のプライベート IP アドレスを介して DAX にアクセスできます。

  4. このアーキテクチャでは、VPC セキュリティグループを使用してエンドポイントへのアクセスを管理できます。

  5. アプリケーションは、VPC 内の各インターフェイスエンドポイントを介して DynamoDB と DAX の両方にアクセスできますが、オンプレミスアプリケーションは Direct Connect または VPN 経由で接続することもできます。

  6. これにより、両方のサービス間で一貫した接続モデルが提供され、アーキテクチャが簡素化され、トラフィックを AWS ネットワーク内に維持することでセキュリティが向上します。

インターフェイスエンドポイントを作成して、AWS マネジメントコンソール、AWS SDK、CloudFormation、または AWS API を使用して DAX に接続できます。

コンソールを使用して DAX のインターフェイスエンドポイントを作成するには

  1. https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールに移動します。

  2. ナビゲーションペインで、[エンドポイント] を選択します。

  3. [エンドポイントの作成] を選択します。

  4. [サービスカテゴリ][AWS のサービス]を選択し、[サービス名]com.amazonaws.region.dax を検索して選択します。

  5. VPC の場合は、DAX にアクセスする VPC を選択し、サブネットの場合は、AWS がエンドポイントネットワークインターフェイスを作成するサブネットを選択します。

  6. [セキュリティグループ] で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。

  7. [ポリシー] で、デフォルトの [フルアクセス] を維持するか、必要に応じてカスタマイズします。

  8. [DNS 名を有効化] を選択して、エンドポイントのプライベート DNS を有効化します。SDK 設定の変更を防ぐために、プライベート DNS 名を有効にしておきます。有効にすると、アプリケーションは標準サービスの DNS 名 (例: dax.region.amazonaws.com) を引き続き使用できます。AWS は、この名前をエンドポイントのプライベート IP アドレスに解決するプライベートホストゾーンを VPC 内に作成します。

    注記

    必要に応じてリージョン DNS 名を使用します。ゾーン DNS 名の使用はお勧めしません。また、3 つ以上の AZ からサブネットを選択し、PrivateLink を介して最大可用性を確保します。

  9. エンドポイントの作成 を選択します。

AWS CLI を使用して DAX のインターフェイスエンドポイントを作成するには

vpc-endpoint-type パラメータを Interface に設定し、service-name パラメータを com.amazonaws.region.dax に設定して、create-vpc-endpoint コマンドを使用します。

aws ec2 create-vpc-endpoint \
    --vpc-id vpc-ec43eb89 \
    --vpc-endpoint-type Interface \
    --service-name com.amazonaws.us-east-1.dax \
    --subnet-ids subnet-abcd1234 subnet-1a2b3c4d \
    --security-group-ids sg-1a2b3c4d \
    --private-dns-enabled

AWS PrivateLink と VPC エンドポイントの使用の詳細については、以下のリソースを参照してください。