SaaS サービスの AWS ネットワークサービスの概要 - AWS 規範ガイダンス
AWS のサービス機能セキュリティ機能

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SaaS サービスの AWS ネットワークサービスの概要

このセクションでは、このガイドで参照される AWS ネットワークサービスについて説明します。また、その機能を比較し、各サービスのセキュリティ上の考慮事項についても説明します。

このセクションは、以下のトピックで構成されます。

AWS ネットワークサービス

このガイドで一貫して説明 AWS のサービス されている を次に示します。

AWS PrivateLink は、顧客が既に で運用されている場合に SaaS サービスへのアクセスを提供するクラウドネイティブサービスです AWS クラウド。顧客はインターフェイス VPC エンドポイントを介して SaaS サービスに接続します。これは、お客様の の 1 つ以上のサブネットにプロビジョニングされるエンドポイントネットワークインターフェイスです AWS アカウント。このガイドのシナリオでは、トラフィックはインターフェイス VPC エンドポイントを通過し、アカウントの Network Load Balancer に到着します。Network Load Balancer は、エンドポイントサービスとして登録した SaaS アプリケーションにトラフィックを転送します。リソース VPC エンドポイントを通じて、 AWS PrivateLink はデータベースなどの他のリソースへのアクセスにも役立ちます。

Amazon VPC Lattice

Amazon VPC Lattice は、SaaS プロバイダーが複数の VPCs および で運用している顧客にサービスを安全かつ効率的に提供できるようにするアプリケーションネットワークサービスです AWS アカウント。顧客は VPC Lattice を介して SaaS サービスにアクセスします。これにより、一貫したネットワーク接続、堅牢なアクセスコントロール、高度なトラフィック管理が提供されます。これらのシナリオでは、トラフィックは VPC Lattice を介して登録されたアプリケーションサービスに流れます。使用するコンピューティングサービスに関係なく、スケーラブルで安全な通信を提供します。

VPC ピアリング

VPC ピアリングは、プライベート IPv4 アドレスまたは IPv6 アドレスを使用してトラフィックをルーティングする 2 つの仮想プライベートクラウド (VPCs) 間のネットワーク接続です。VPC ピア接続は通常、同じ組織内のエンティティなど、信頼されたエンティティ間で使用されます。顧客が VPCs の 1 つへのピアリングリクエストを作成します。これを受け入れると、トラフィックは両方の VPCs間でどちらの方向にも流れる可能性があります。この接続アプローチは、中間サービスやインフラストラクチャを管理せずに 2 つの VPCs 間で直接通信する必要があるため、その一意性が際立っています。

AWS Transit Gateway

AWS Transit Gateway は、VPCs、仮想プライベートネットワーク (VPN) 接続、AWS Direct Connect ゲートウェイ、VPC 内のサードパーティーの仮想アプライアンス、およびその他のトランジットゲートウェイを接続できる一元化されたネットワークトランジットハブです。トランジットゲートウェイは、アタッチメントごとに異なるルートテーブルを持つことができます。これにより、ルーティングの柔軟性が最大限に高まり、ネットワークを分離するのに役立ちます。多くの場合、多くの VPCsまとめて接続したり、一元的な検査を行ったりするために使用されます。

AWS Site-to-Site VPN

AWS Site-to-Site VPN は、インターネットプロトコルセキュリティ (IPsec) テクノロジーを使用して、オンプレミスネットワーク、リモートオフィス、工場、その他のクラウドプロバイダー、 AWS グローバルネットワーク間の接続を確立できます。接続は、 の VPC 内の仮想プライベートゲートウェイまたはトランジットゲートウェイから、 、オンプレミス AWS クラウド、または別の CSP のクラウドにある物理またはソフトウェアベースのカスタマーゲートウェイ AWS クラウド に確立されます。接続は、インターネットまたは物理 AWS Direct Connect 接続を介して行うことができます。を使用して Site-to-Site VPN 接続を高速化することもできます AWS Global Accelerator。高速接続はトラフィックを AWS エッジロケーションにルーティングし、レイテンシーを短縮してパフォーマンスを向上させます。

AWS Direct Connect

AWS Direct Connect は、オンプレミスのデータセンターと の間に高速なプライベート接続を確立します AWS クラウド。パブリックインターネットをバイパスすることで、 は へのより信頼性が高く、安全で、一貫した低レイテンシーの接続 Direct Connect を提供します AWS クラウド。お客様はいずれかのDirect Connect ロケーションに接続し、ホスト接続または専用接続を選択します AWS。これは SaaS 製品ではまれなアーキテクチャですが、大企業のコンシューマーがほとんどいない SaaS プロバイダーに適しています。

サービス機能の比較

次の表は、このガイドで説明 AWS のサービス されている でサポートされている機能の概要を示しています。以下は、この表に含まれる機能の説明です。

  • 重複する CIDR 範囲 – 同じ CIDR 範囲または重複する CIDR 範囲を持つ 2 つ以上のネットワークを接続できます

  • 双方向通信 双方向通信チャネルをサポートできるため、SaaS コンシューマーはデータベースなどの内部リソースを SaaS プロバイダーに公開できます。

  • IPv6 – シングルスタックまたはデュアルスタックの IPv6 をサポート 可能

  • ジャンボフレーム – 最大 8,500 バイトのフレームサイズのジャンボフレームをサポート

  • ハイブリッドクラウド オンプレミスネットワークへの接続をサポート可能

  • マルチクラウド – さまざまなクラウドサービスプロバイダー上のネットワーク間の接続をサポート可能

サービスまたはアプローチ

CIDR 範囲の重複

双方向通信

IPv6

ジャンボフレーム

ハイブリッドクラウド

マルチクラウド

VPC ピアリング接続

いいえ

はい

はい

はい5

いいえ

いいえ

AWS PrivateLink

はい

はい 1

はい

はい

No6

No6

Amazon VPC Lattice

はい

はい 1

はい

はい

No6

No6

AWS Transit Gateway

いいえ

はい

はい

はい

はい3

はい3

AWS Site-to-Site VPN

いいえ

はい

はい

いいえ

はい

はい

AWS Direct Connect

いいえ

はい

はい

はい 2

はい

はい

パブリックインターネットアクセス4

該当しない

いいえ

はい

はい

はい

はい

  1. Amazon VPC Lattice での VPC リソースの使用

  2. プライベート仮想インターフェイスとトランジット仮想インターフェイスのみ

  3. Site-to-Site VPN または AWS Direct Connect アタッチメントを使用

  4. Application Load Balancer など、アプリケーションをパブリックにアクセス可能にする AWS リソースの一般的な用語

  5. 1 つの 内のピアリング接続のみ AWS リージョン

  6. 環境間の既存の Layer 3 接続を介して可能

セキュリティ機能と考慮事項

次の表は、このガイドで説明 AWS のサービス されている のセキュリティ機能の概要を示しています。

  • 認証の方法 – 顧客のみがサービスに接続できるようにする方法。受信リクエストの別のレベルの認証は通常、特に共有テナント環境では依然として必要です。

  • 転送中の暗号化 – 転送中の暗号化がデフォルトで提供されているかどうかを示します。ネイティブ暗号化とは、VPCs 間、 VPCs またはデータセンター間のすべてのトラフィックに対して AWS が提供する暗号化を指します。補足暗号化とは、ユーザーが制御し、それぞれのサービスで停止できる暗号化のことです。

サービスまたはアプローチ

認証の方法

転送時の暗号化

VPC ピアリング接続

顧客の AWS アカウント および VPC へのピアリングリクエストを開始するか、開始するリクエストを受け入れます。「VPC ピアリング接続を承諾または拒否する」を参照してください。

ネイティブ暗号化のみ

AWS PrivateLink

サービスへのエンドポイントの作成 AWS アカウント を許可する を選択します。これらのアカウントは、許可されたプリンシパルと呼ばれます。「接続リクエストを承諾または拒否する」を参照してください。

ネイティブ暗号化のみ

Amazon VPC Lattice

VPC Lattice サービスまたはサービスネットワークを顧客の と共有します AWS アカウント。「VPC Lattice エンティティを共有する」を参照してください。

ネイティブ暗号化と補足 TLS 暗号化

AWS Transit Gateway

顧客が からピアリングアタッチメントリクエストを作成するか AWS アカウント、リクエストを開始します。Amazon VPC Transit Gateway の「Transit Gateway ピアリングアタッチメント」を参照してください。

VPN アタッチメントを使用したネイティブ暗号化と補足的な IPsec 暗号化

AWS Site-to-Site VPN

顧客のデバイスで IPsec 事前共有キーまたはプライベート証明書を使用します。AWS Site-to-Site VPN 「トンネル認証オプション」を参照してください。

補足 IPsec 暗号化

AWS Direct Connect

お客様は、 から仮想インターフェイスリクエストを作成します AWS アカウント。Direct Connect 仮想インターフェイスとホスト仮想インターフェイスを参照してください。

選択したサイトで可能な補足レイヤー 2 暗号化。Direct Connect 「ロケーション」を参照してください。

パブリックインターネットアクセス1

カスタム認証が必要です。

追加の TLS 暗号化が可能

  1. Application Load Balancer など、アプリケーションをパブリックにアクセス可能にする AWS リソースの一般的な用語