インターフェイスエンドポイントを使用して AWS Billing and Cost Management にアクセス (AWS PrivateLink) - AWS 請求
考慮事項インターフェイスエンドポイントの作成エンドポイントポリシーを作成する

インターフェイスエンドポイントを使用して AWS Billing and Cost Management にアクセス (AWS PrivateLink)

AWS PrivateLink を使用して、VPC と AWS Billing and Cost Management の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続を使用しなくても、AWS Billing and Cost Management が VPC 内にあるかのようにアクセスできます。VPC 内のインスタンスには、Billing and Cost Management にアクセスするためのパブリック IP アドレスが必要ありません。

このプライベート接続を確立するには、AWS PrivateLink を利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Billing and Cost Management 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

詳細については、AWS PrivateLinkガイドAWS PrivateLinkからAWS のサービスにアクセスするを参照してください。

サービス名の完全なリストについては、「AWS services that integrate with AWS PrivateLink」を参照してください。

Billing and Cost Management に関する考慮事項

Billing and Cost Management のインターフェイスエンドポイントを設定する前に、「AWS PrivateLink Guide」の「Considerations」を確認してください。

Billing and Cost Management は、インターフェイスエンドポイント経由でのすべての API アクションの呼び出しをサポートしています。

Billing and Cost Management では、VPC エンドポイントポリシーがサポートされていません。デフォルトで、インターフェイスエンドポイント経由での Billing and Cost Management への完全なアクセスが許可されています。または、セキュリティグループをエンドポイントネットワークインターフェイスに関連付けて、インターフェイスエンドポイント経由で Billing and Cost Management へのトラフィックを制御することもできます。

Billing and Cost Management 用のインターフェイスエンドポイントを作成する

Billing and Cost Management 用のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して作成できます。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。

以下のサービス名を使用して、Billing and Cost Management 用のインターフェイスエンドポイントを作成します。

com.amazonaws.region.service-name

インターフェイスエンドポイントのプライベート DNS を有効にすると、デフォルトのリージョン DNS 名を使用して Billing and Cost Management への API リクエストを実行できます。例えば、service-name.us-east-1.amazonaws.com

インターフェイスエンドポイントのエンドポイントポリシーを作成する

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーは、インターフェイスエンドポイント経由での Billing and Cost Management への完全なアクセスを許可します。VPC から Billing and Cost Management への許可済みのアクセスを制御するには、インターフェイスエンドポイントにカスタムエンドポイントポリシーをアタッチします。

エンドポイントポリシーは以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、AWS PrivateLink ガイドControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。

例: AWS Price List API 向けの VPC エンドポイントポリシー

以下は、カスタムエンドポイントポリシーの例です。このポリシーをインターフェイスエンドポイントにアタッチすると、エンドポイントにアクセスできるすべてのユーザーが AWS Price List API にアクセスできます。

{
    "Statement": [
        {
            "Action": "pricing:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

AWS PrivateLink 経由での Price List API の一括ファイルダウンロードを使用するには、AWS PrivateLink 経由での Amazon S3 アクセスも有効にする必要があります。詳細については、「Amazon S3 ユーザーガイド」の「AWS PrivateLink for Amazon S3」を参照してください。