Timestream for InfluxDB VPC エンドポイントに関する注意事項 Timestream for InfluxDB の VPC エンドポイントの作成 VPC エンドポイントへの接続 VPC エンドポイントへのアクセスの制御ポリシーステートメントでの VPC エンドポイントの使用 VPC エンドポイントのログ記録

Amazon Timestream for LiveAnalytics に類似した機能をご希望の場合は Amazon Timestream for InfluxDB をご検討ください。リアルタイム分析に適した、シンプルなデータインジェストと 1 桁ミリ秒のクエリ応答時間を特徴としています。詳細については、こちらを参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC エンドポイントを介した Timestream for InfluxDB への接続

Timestream for InfluxDB には、仮想プライベートクラウド (VPC) 内のプライベートインターフェイスエンドポイントを使って直接接続することができます。インターフェイス VPC エンドポイントを使用する場合、VPC と Timestream for InfluxDB 間の通信は AWS 、ネットワーク内で完全に行われます。

Timestream for InfluxDB は、AWS PrivateLink を利用する Amazon Virtual Private Cloud (Amazon VPC) エンドポイントをサポートしています。各 VPC エンドポイントは、VPC サブネット内のプライベート IP アドレスを持つ 1 つ以上の Elastic Network Interfaces (ENI) で表されます。

インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで、VPC を Timestream for InfluxDB に直接接続します。VPC のインスタンスは、パブリック IP アドレスがなくても Timestream for InfluxDB と通信できます。

Regions

Timestream for InfluxDB は、Timestream for InfluxDB がサポートされているすべての AWS リージョンで VPC エンドポイントと VPC エンドポイントポリシーをサポートします。 InfluxDB

トピック

Timestream for InfluxDB VPC エンドポイントに関する注意事項
Timestream for InfluxDB の VPC エンドポイントの作成
Timestream for InfluxDB VPC エンドポイントへの接続
VPC エンドポイントへのアクセスの制御
ポリシーステートメントでの VPC エンドポイントの使用
VPC エンドポイントのログ記録

Timestream for InfluxDB VPC エンドポイントに関する注意事項

Timestream for InfluxDB 用のインターフェイス VPC エンドポイントをセットアップするときは、事前に「AWS PrivateLink ガイド」のインターフェイスエンドポイントのプロパティと制限に関するトピックを確認してください。

Timestream for InfluxDB は、以下のような方法で VPC エンドポイントをサポートしています。

VPC エンドポイントを使用して、VPC からすべての Timestream for InfluxDB API オペレーションを呼び出すことができます。
AWS CloudTrail ログを使用して、VPC エンドポイントを介した InfluxDB リソースの Timestream の使用を監査できます。詳細については、「VPC エンドポイントのログ記録」を参照してください。

Timestream for InfluxDB の VPC エンドポイントの作成

Amazon VPC コンソールまたは Amazon VPC API を使用して、Timestream for InfluxDB 用の VPC エンドポイントを作成できます。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。

Timestream for InfluxDB 用の VPC エンドポイントを作成するには、次のサービス名を使用します。
```
com.amazonaws.region.timestream-influxdb
```
例えば、米国西部 (オレゴン) リージョン（us-west-2）では、サービス名は次のようになります。
```
com.amazonaws.us-west-2.timestream-influxdb
```

VPC エンドポイントを使いやすくするために、VPC エンドポイントに対してプライベート DNS 名を有効にすることができます。[DNS 名を有効化] のオプションを選択すると、標準の Timestream for InfluxDB DNS ホスト名が VPC エンドポイントに解決されます。例えば、https://timestream-influxdb.us-west-2.amazonaws.com はサービス名 com.amazonaws.us-west-2.timestream-influxdb に接続された VPC エンドポイントに解決されます。

このオプションにより VPC エンドポイントが使いやすくなります。 AWS SDKsとは、デフォルトで InfluxDB DNS ホスト名に標準の Timestream AWS CLI を使用するため、アプリケーションとコマンドで VPC エンドポイント URL を指定する必要はありません。

詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを介したサービスへアクセスする」を参照してください。

Timestream for InfluxDB VPC エンドポイントへの接続

AWS SDK、、 AWS CLI またはを使用して、VPC エンドポイントを介して Timestream for InfluxDB に接続できます AWS Tools for PowerShell。VPC エンドポイントを指定するには、DNS 名を使用します。

VPC エンドポイントの作成時にプライベートホスト名を有効にした場合は、CLI コマンドまたはアプリケーションの設定で VPC エンドポイント URL を指定する必要はありません。標準の Timestream for InfluxDB DNS ホスト名は VPC エンドポイントに解決されます。 AWS CLI および SDKsデフォルトでこのホスト名を使用するため、VPC エンドポイントを使用して、スクリプトやアプリケーションを変更することなく、Timestream for InfluxDB リージョンエンドポイントに接続できます。

プライベートホスト名を使用するには、VPC の enableDnsHostnames 属性と enableDnsSupport 属性を true に設定する必要があります。これらの属性を設定するには、 ModifyVpcattribute オペレーションを使用します。詳細については、「Amazon VPC ユーザーガイド」の「VPC の DNS 属性」を参照してください。

VPC エンドポイントへのアクセスの制御

Timestream for InfluxDB の VPC エンドポイントへのアクセスを制御するには、VPC エンドポイントポリシーを VPC エンドポイントにアタッチします。エンドポイントポリシーは、プリンシパルが VPC エンドポイントを使用して Timestream for InfluxDB リソースに対する Timestream for InfluxDB オペレーションを呼び出すことができるかどうかを決定します。

エンドポイントの作成時に VPC エンドポイントポリシーを作成できます。また、VPC エンドポイントポリシーはいつでも変更できます。VPC マネジメントコンソール、または CreateVPcendPoint オペレーションまたは ModifyVPcendPoint オペレーションを使用します。AWS CloudFormation テンプレートを使用して VPC エンドポイントポリシーを作成および変更することもできます。VPC マネジメントコンソールの使用方法については、「AWS PrivateLink ガイド」でインターフェイスエンドポイントの作成方法およびインターフェイスエンドポイントの変更方法を確認してください。

注記

Timestream for InfluxDB は、2020 年 7 月以降、VPC エンドポイントポリシーをサポートしています。この日付以前に作成された Timestream for InfluxDB の VPC エンドポイントにはデフォルトの VPC エンドポイントポリシーが設定されていますが、これはいつでも変更できます。

VPC エンドポイントポリシーについて

VPC エンドポイントを使用する Timestream for InfluxDB リクエストが成功するには、プリンシパルに 2 つのソースからのアクセス許可が必要です。

IAM ポリシーは、リソースでオペレーションを呼び出すためのプリンシパルアクセス権限を付与する必要があります。
VPC エンドポイントポリシーは、エンドポイントを使用してリクエストを実行するためのアクセス権限をプリンシパルに付与する必要があります。

デフォルトの VPC エンドポイントポリシー

すべての VPC エンドポイントには VPC エンドポイントポリシーがありますが、ポリシーを指定する必要はありません。ポリシーを指定しない場合、デフォルトのエンドポイントポリシーでは、エンドポイント上のすべてのリソースのすべてのプリンシパルによるすべてのオペレーションが許可されます。

ただし、Timestream for InfluxDB リソースの場合、プリンシパルには IAM ポリシーからオペレーションを呼び出すアクセス許可も必要です。したがって、実際、デフォルトのポリシーには、プリンシパルにリソースのオペレーションを呼び出すアクセス許可がある場合はエンドポイントを使用してそれを呼び出すこともできると書かれています。


{
  "Statement": [
    {
      "Action": "*", 
      "Effect": "Allow", 
      "Principal": "*", 
      "Resource": "*"
    }
  ]
}

許可されたオペレーションのサブセットのみに VPC エンドポイントを使用することをプリンシパルに許可するには、VPC エンドポイントポリシーを作成または変更します。

VPC エンドポイントポリシーの作成

VPC エンドポイントポリシーは、プリンシパルに VPC エンドポイントを使用してリソースに対してオペレーションを実行するアクセス許可があるかどうかを決定します。Timestream for InfluxDB リソースでは、プリンシパルには IAM ポリシーからオペレーションを実行するためのアクセス許可も必要です。

各 VPC エンドポイントポリシーステートメントには、次の要素が必要です。

アクションを実行できるプリンシパル
実行可能なアクション
アクションを実行できるリソース

ポリシーステートメントは VPC エンドポイントを指定しません。代わりに、ポリシーがアタッチされているすべての VPC エンドポイントに適用されます。詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントによるサービスのアクセスコントロール」を参照してください。

AWS CloudTrail は、VPC エンドポイントを使用するすべてのオペレーションを記録します。

VPC エンドポイントポリシーの表示

エンドポイントの VPC エンドポイントポリシーを表示するには、 VPC マネジメントコンソールまたは DescribeVpcEndpoints オペレーションを使用します。

次の AWS CLI コマンドは、指定された VPC エンドポイント ID を持つエンドポイントのポリシーを取得します。

このコマンドを使用する前に、サンプルのエンドポイント ID をアカウントの有効なものに置き換えてください。


$ aws ec2 describe-vpc-endpoints \

--query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]'

--output text

ポリシーステートメントでの VPC エンドポイントの使用

リクエストが VPC から送信されたとき、または VPC エンドポイントを使用するときに、Timestream for InfluxDB リソースとオペレーションへのアクセスを制御できます。そのためには、IAM ポリシーで次のいずれかのグローバル条件キーを使用します。

aws:sourceVpce 条件キーを使用して、VPC エンドポイントに基づいてアクセスを許可または制限します。
aws:sourceVpc 条件キーを使用して、プライベートエンドポイントをホストする VPC に基づいてアクセスを許可または制限します。

注記

VPC エンドポイントに基づいてキーポリシーと IAM ポリシーを作成する場合は、注意が必要です。ポリシーステートメントで特定の VPC または VPC エンドポイントからのリクエストが要求されている場合、ユーザーに代わって Timestream for InfluxDB リソースを使用する統合 AWS サービスからのリクエストが失敗する可能性があります。

また、リクエストが Amazon VPC エンドポイントから送信される場合、aws:sourceIP 条件キーは無効です。リクエストを VPC エンドポイントに制限するには、aws:sourceVpce または aws:sourceVpc 条件キーを使用します。詳細については、「AWS PrivateLink ガイド」の VPC エンドポイントと VPC エンドポイントサービスのアイデンティティおよびアクセス管理のページを参照してください。

これらのグローバル条件キーを使用することで、特定のリソースに依存しない CreateDbInstance などのオペレーションへのアクセスを制御できます。

VPC エンドポイントのログ記録

AWS CloudTrail は、VPC エンドポイントを使用するすべてのオペレーションを記録します。Timestream for InfluxDB へのリクエストで VPC エンドポイントが使用されている場合、VPC エンドポイント ID は、そのリクエストが記録されている AWS CloudTrail ログのエントリに表示されます。このエンドポイント ID を使用して、Timestream for InfluxDB VPC エンドポイントの使用状況を監査できます。

ただし、CloudTrail ログには、他のアカウントのプリンシパルによってリクエストされたオペレーション、および他のアカウントの Timestream for InfluxDB リソースやエイリアスに対する Timestream for InfluxDB オペレーションのリクエストは含まれません。また、VPC を保護するために VPC エンドポイントポリシーによって拒否されたが、それ以外の場合は許可されるリクエストは AWS CloudTrail に記録されません。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS 管理ポリシー

ログ記録とモニタリング