インターフェイスエンドポイントを使用して Amazon Lightsail にアクセス (AWS PrivateLink) - Amazon Lightsail
考慮事項インターフェイスエンドポイントの作成AWS CLI の例エンドポイントポリシーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイスエンドポイントを使用して Amazon Lightsail にアクセス (AWS PrivateLink)

AWS PrivateLink を使用して、VPC と Amazon Lightsail の間にプライベート接続を作成できます。インターネットゲートウェイ、NATデバイス、VPN接続、またはDirect Connect接続を使用せずに、VPC内にあるかのようにAmazon Lightsailにアクセスすることができます。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon Lightsail にアクセスできます。

このプライベート接続を確立するには、AWS PrivateLink を利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、Amazon Lightsail 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

詳細については、『AWS PrivateLink ガイド』の「AWS のサービス でアクセスする」を参照してください。

Amazon Lightsailに関する考慮事項

Amazon Lightsail のインターフェイスエンドポイントを設定する前に、仮想プライベートクラウド (VPC) を作成する必要があります。詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「VPC を作成する」を参照してください。さらに、「AWS PrivateLink ガイド」の「Considerations」も確認してください。

Amazon Lightsail は、インターフェイスエンドポイントを介してすべての API アクションの呼び出しをサポートしています。Lightsail で利用可能な API アクションの詳細については「Amazon Lightsail API reference」を参照してください。

Amazon Lightsail 用のインターフェイスエンドポイントの作成

Amazon Lightsail のインターフェイスエンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して作成できます。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。

以下のサービス名を使用して、Amazon Lightsail 用のインターフェース・エンドポイントを作成します。:

com.amazonaws.region.lightsail

インターフェイスエンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名を使用して、Amazon Lightsail への API リクエストを実行できます。例えば、lightsail.us-east-1.amazonaws.com。使用できるリージョンコードについては、「Lightsail のリージョンとアベイラビリティーゾーン」を参照してください。

AWS CLI の例

インターフェイスエンドポイントを使用して Lightsail にアクセスするには、AWS CLI コマンドで --region および --endpoint-url パラメータを使用します。Lightsail で実行できるオペレーションの完全なリストについては、「Amazon Lightsail API Reference」の「Actions」を参照してください。

次の例では、AWS リージョン us-east-1 と VPC エンドポイント ID の DNS 名 vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com をユーザー自身の情報に置き換えます。

例: エンドポイント URL を使用して Lightsail インスタンスを一覧表示する

次の例では、インターフェイスエンドポイントを使用してインスタンスを一覧表示します。

aws lightsail get-instances --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.lightsail.us-east-1.vpce.amazonaws.com
例: エンドポイント URL を使用して Lightsail ディスクを一覧表示する

次の例では、インターフェイスエンドポイントを使用してディスクを一覧表示します。

aws lightsail get-disks --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.lightsail.us-east-1.vpce.amazonaws.com

インターフェイスエンドポイントのエンドポイントポリシーを作成する

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介した Amazon Lightsail へのフルアクセスが許可されています。VPC から Amazon Lightsailに許可されるアクセスを制御するには、カスタム・エンドポイント・ポリシーをインターフェースのエンドポイントにアタッチします。

エンドポイントポリシーは以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、AWS PrivateLink ガイドControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。

例: Amazon Lightsail アクション用の VPC エンドポイントポリシー

以下は、カスタムエンドポイントポリシーの例です。このポリシーをインターフェイスエンドポイントにアタッチすると、エンドポイントを介して Lightsail のブロックストレージディスクを削除するアクセス許可がすべてのユーザーに対して拒否され、他のすべての Lightsail アクションを実行するアクセス許可がすべてのユーザーに付与されます。

{
  "Statement": [
    {
      "Action": "lightsail:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "lightsail:DeleteDisk",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}