翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Security Lake とインターフェイス VPC エンドポイント (AWS PrivateLink)
<a name="security-vpc-endpoints"></a>

*インターフェイス VPC エンドポイント*を作成することで、VPC と Amazon Security Lake 間のプライベート接続を確立できます。インターフェイスエンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink)、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで Security Lake APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC 内のインスタンスは、Security Lake APIs と通信するためにパブリック IP アドレスを必要としません。VPC と Security Lake 間のトラフィックは Amazon ネットワークを離れません。

各インターフェイスエンドポイントは、サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) によって表されます。

詳細については、「AWS PrivateLink ガイド」の「[インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)」を参照してください。

## Security Lake VPC エンドポイントに関する考慮事項
<a name="vpc-endpoint-considerations"></a>

Security Lake のインターフェイス VPC エンドポイントを設定する前に、「 *AWS PrivateLink ガイド*」の[「インターフェイスエンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations)」を確認してください。

Security Lake は、VPC からのすべての API アクションの呼び出しをサポートしています。

Security Lake は、FIPS が存在する次のリージョンでのみ FIPS VPC エンドポイントをサポートします。
+ 米国東部 (バージニア北部)
+ 米国東部 (オハイオ)
+ 米国西部 (北カリフォルニア)
+ 米国西部 (オレゴン)

## Security Lake 用のインターフェイス VPC エンドポイントの作成
<a name="vpc-endpoint-create"></a>

Security Lake サービスの VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface () を使用して作成できますAWS CLI。詳細については、「*AWS PrivateLink ガイド*」の「[インターフェイスエンドポイントを作成](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)」を参照してください。

次のサービス名を使用して、Security Lake の VPC エンドポイントを作成します。

 
+ com.amazonaws.{{region}}.securitylake
+ com.amazonaws.{{region}}.securitylake-fips (FIPS エンドポイント)

エンドポイントのプライベート DNS を有効にすると、 などのリージョンのデフォルトの DNS 名を使用して Security Lake に API リクエストを行うことができます`securitylake.us-east-1.amazonaws.com`。

詳細については、AWS PrivateLink ガイドの[インターフェイスエンドポイントを介したサービスへのアクセス](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint)を参照してください。

## Security Lake の VPC エンドポイントポリシーの作成
<a name="vpc-endpoint-policy"></a>

Security Lake へのアクセスを制御するエンドポイントポリシーを VPC エンドポイントにアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ このアクションを実行できるリソース。

詳細については、「*AWS PrivateLink ガイド*」の「[Control access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。

**例: Security Lake アクションの VPC エンドポイントポリシー**  
以下は、Security Lake のエンドポイントポリシーの例です。エンドポイントにアタッチすると、このポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされている Security Lake アクションへのアクセスを許可します。

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securitylake:ListDataLakes",
            "securitylake:ListLogSources",
            "securitylake:ListSubscribers"
         ],
         "Resource":"*"
      }
   ]
}
```

## 共有サブネット
<a name="sh-vpc-endpoint-shared-subnets"></a>

自分と共有されているサブネットで VPC エンドポイントを作成、説明、変更、または削除することはできません。ただし、自分と共有されているサブネットでVPC エンドポイントを使用することはできます。VPC 共有の詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC を他のアカウントと共有する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。