クロスリージョンが有効 AWS のサービス - Amazon Virtual Private Cloud
使用可能な AWS のサービス の名前を表示するアクセス許可と考慮事項別のリージョン AWS のサービス の へのインターフェイスエンドポイントを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クロスリージョンが有効 AWS のサービス

次の はクロスリージョンと AWS のサービス 統合されています AWS PrivateLink。インターフェイスエンドポイントを作成して、独自の VPC で実行されているかのように、別の AWS リージョンのこれらのサービスにプライベートに接続できます。

AWS のサービス 列のリンクを選択すると、サービスドキュメントが表示されます。サービス名列には、インターフェイスエンドポイントの作成時に指定したサービス名が含まれます。

AWS のサービス サービス名
Amazon S3 com.amazonaws.region.s3
AWS Identity and Access Management (IAM) com.amazonaws.iam
Amazon ECR com.amazonaws.region.ecr.api
com.amazonaws.region.ecr.dkr
AWS Key Management Service com.amazonaws.region.kms
com.amazonaws.region.kms-fips
Amazon ECS com.amazonaws.region.ecs
AWS Lambda com.amazonaws.region.lambda
Amazon Data Firehose com.amazonaws.region.kinesis-firehose
Amazon Managed Service for Apache Flink com.amazonaws.region.kinesisanalytics
com.amazonaws.region.kinesisanalytics-fips
Amazon Route 53 com.amazonaws.route53

使用可能な AWS のサービス の名前を表示する

describe-vpc-endpoint-services コマンドを使用して、クロスリージョン対応サービスを表示できます。

次の の例では、 us-east-1リージョンの AWS のサービス ユーザーがインターフェイスエンドポイント経由で、指定された (us-west-2) サービスリージョンにアクセスできる を表示します。--query オプションは、出力をサービス名に制限します

aws ec2 describe-vpc-endpoint-services \
  --filters Name=service-type,Values=Interface Name=owner,Values=amazon \ 
  --region us-east-1 \
  --service-region us-west-2 \
  --query ServiceNames

以下は出力の例です。表示されているのは完全な出力ではありません。

[
    "com.amazonaws.us-west-2.ecr.api",
    "com.amazonaws.us-west-2.ecr.dkr",
    "com.amazonaws.us-west-2.ecs",
    "com.amazonaws.us-west-2.ecs-fips",
    ...
    "com.amazonaws.us-west-2.s3"
]
注記

リージョン DNS を使用する必要があります。ゾーン DNS は、別のリージョン AWS のサービス で にアクセスするときはサポートされていません。詳細については、「Amazon VPC ユーザーガイド」の「DNS 属性の表示と更新」を参照してください。

アクセス許可と考慮事項

  • デフォルトでは、IAM エンティティには、別のリージョン AWS のサービス の にアクセスするアクセス許可がありません。リージョン間のアクセスに必要なアクセス許可を付与するために、IAM 管理者はvpce:AllowMultiRegionアクセス許可のみのアクションを許可する IAM ポリシーを作成できます。

  • サービスコントロールポリシー (SCP) がアクセスvpce:AllowMultiRegion許可のみのアクションを拒否しないことを確認します。 AWS PrivateLinkのクロスリージョン接続機能を使用するには、ID ポリシーと SCP の両方でこのアクションを許可する必要があります。

  • VPC エンドポイントの作成時に IAM エンティティがサービスリージョンとして指定できるリージョンを制御するには、ec2:VpceServiceRegion 条件キーを使用します。

  • サービスコンシューマーは、オプトインリージョンをエンドポイントのサービスリージョンとして選択する前に、オプトインリージョンにオプトインする必要があります。可能な場合は常に、サービスコンシューマーがクロスリージョン接続ではなく、リージョン内接続を使用してサービスにアクセスすることが推奨されます。リージョン内接続は、レイテンシーとコストを低減します。

  • IAM の新しいaws:SourceVpcArnグローバル条件キーを使用して、リソースにアクセスできるリージョン AWS アカウント と VPCsを保護できます。このキーは、データレジデンシーとリージョンベースのアクセスコントロールを実装するのに役立ちます。

  • 高可用性を実現するには、少なくとも 2 つのアベイラビリティーゾーンにクロスリージョン対応インターフェイスエンドポイントを作成します。この場合、プロバイダーとコンシューマーは同じアベイラビリティーゾーンを使用する必要はありません。

  • クロスリージョンアクセスでは、 はサービスリージョンとコンシューマーリージョンの両方でアベイラビリティーゾーン間のフェイルオーバー AWS PrivateLink を管理します。リージョン間のフェイルオーバーは管理しません。

  • クロスリージョンアクセスは、、use1-az3、、usw1-az2apne1-az3apne2-az2および のアベイラビリティーゾーンではサポートされていませんapne2-az4

  • を使用して AWS Fault Injection Service 、リージョン内およびリージョン間の有効なインターフェイスエンドポイントのリージョンイベントとモデル障害シナリオをシミュレートできます。詳細については、「 AWS FIS ドキュメント」を参照してください。

別のリージョン AWS のサービス の へのインターフェイスエンドポイントを作成する

コンソールを使用してインターフェイスエンドポイントを作成するには、「VPC エンドポイントの作成」セクションを参照してください。

CLI では、create-vpc-endpoint コマンドを使用して、別のリージョン AWS のサービス の への VPC エンドポイントを作成できます。次の例では、 の VPC us-west-2から の Amazon S3 へのインターフェイスエンドポイントを作成しますus-east-1

aws ec2 create-vpc-endpoint \
  --vpc-id vpc-id \ 
  --service-name com.amazonaws.us-west-2.s3 \
  --vpc-endpoint-type Interface \
  --subnet-ids subnet-id-1 subnet-id-2 \ 
  --region us-east-1 \
  --service-region us-west-2