翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インターフェイスエンドポイント (AWS PrivateLink) を使用して Amazon QLDB にアクセスします。
重要
サポート終了通知: 既存のお客様は、07/31/2025 のサポート終了まで Amazon QLDB を使用できます。詳細については、「Amazon QLDB 台帳を Amazon Aurora PostgreSQL に移行する
を使用して AWS PrivateLink 、VPC と Amazon QLDB の間にプライベート接続を作成できます。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC 内にあるかのように QLDB にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても QLDB にアクセスできます。
このプライベート接続を確立するには、 AWS PrivateLinkを利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、QLDB 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。
詳細については「 AWS PrivateLink Guide (AWS PrivateLink ガイド)」の「Access an AWS のサービス using an interface VPC endpoint (インターフェイス VPC エンドポイントを使用して にアクセスする)」を参照してください。
QLDB に関する考慮事項
QLDB のインターフェイスエンドポイントを設定する前に、「AWS PrivateLink ガイド」の「考慮事項」を確認してください。
注記
QLDB は、インターフェイスエンドポイントを介した QLDB セッショントランザクションデータ API に対する呼び出しのみをサポートします。この API には、SendCommand オペレーションのみが含まれます。台帳の STANDARD 権限モードでは、この API の特定の PartiQL アクションの権限を制御できます。
QLDB 用のインターフェイスエンドポイントの作成
Amazon VPC コンソールまたは AWS Command Line Interface () を使用して、QLDB のインターフェイスエンドポイントを作成できますAWS CLI。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。
以下のサービス名を使用して、QLDB のインターフェイスエンドポイントを作成します。
com.amazonaws.region.qldb.session
インターフェイスエンドポイントのプライベート DNS を有効にすると、デフォルトのリージョン DNS 名を使用して、QLDB への API リクエストを実行できます。例えば、session.qldb.us-east-1.amazonaws.com。
インターフェイスエンドポイントのエンドポイントポリシーを作成する
エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイント経由での QLDB へのフルアクセスが許可されています。VPC から QLDB への許可されたアクセスをコントロールするには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。
エンドポイントポリシーは以下の情報を指定します。
-
アクションを実行できるプリンシパル (AWS アカウント、ユーザー、ロール)。
-
実行可能なアクション。
-
このアクションを実行できるリソース。
詳細については、AWS PrivateLink ガイドのControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。
また、ユーザー、グループ、またはロールにアタッチされたポリシーの Condition フィールドを使用して、指定された インターフェイスエンドポイントからのアクセスのみを許可することもできます。エンドポイントポリシーと IAM ポリシーを一緒に使用すると、指定された台帳の特定の QLDB アクションへのアクセスを、指定されたインターフェイスエンドポイントに制限できます。
エンドポイントポリシーの例: 特定の QLDB 台帳へのアクセスを制限する
以下は、QLDB のカスタムエンドポイントポリシーの例です。このポリシーをインターフェイスエンドポイントにアタッチすると、指定された台帳リソースのすべてのプリンシパルに対して、SendCommand アクションと PartiQL 読み取り専用アクションへのアクセス権が許可されます。この例では、台帳が STANDARD 権限モードでなければなりません。
このポリシーを使用するには、以下の例の us-east-1、123456789012、および myExampleLedger を自分の情報と置き換えます。
{ "Statement": [ { "Sid": "QLDBSendCommandPermission", "Principal": "*", "Effect": "Allow", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger" }, { "Sid": "QLDBPartiQLReadOnlyPermissions", "Principal": "*", "Effect": "Allow", "Action": [ "qldb:PartiQLSelect", "qldb:PartiQLHistoryFunction" ], "Resource": [ "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/table/*", "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger/information_schema/user_tables" ] } ] }
IAM ポリシーの例: 特定のインターフェイスエンドポイントからのみ QLDB 台帳へのアクセスを制限する
以下は、QLDB の IAM アイデンティティベースポリシーの例です。このポリシーをユーザー、ロール、またはグループにアタッチすると、指定されたインターフェイスエンドポイントからのみ台帳リソースへの SendCommand アクセスが許可されます。
このポリシーを使用するには、以下の例の us-east-1、123456789012、myExampleLedger、および vpce-1a2b3c4d を自分の情報と置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessFromSpecificInterfaceEndpoint", "Effect": "Deny", "Action": "qldb:SendCommand", "Resource": "arn:aws:qldb:us-east-1:123456789012:ledger/myExampleLedger", "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] }
QLDB の インターフェイスエンドポイントの可用性
Amazon QLDB は、QLDB が利用可能なすべての AWS リージョン のポリシーを使用したインターフェイスエンドポイントをサポートしています。利用可能なリージョンの完全なリストについては、「AWS 全般のリファレンス」の「Amazon QLDB エンドポイントとクォータ」を参照してください。
