翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# を使用したサービスの作成 AWS PrivateLink
<a name="create-endpoint-service"></a>

エンドポイントサービスと呼ばれる AWS PrivateLinkを使用した独自の*サービス*を作成できます。お客様はサービスプロバイダーであり、お客様のサービスへの接続を作成する AWS プリンシパルはサービスコンシューマーです。

エンドポイントサービスには、Network Load Balancer または Gateway Load Balancer のいずれかが必要です。ロードバランサーは、サービスコンシューマーからリクエストを受け取ってサービスにルーティングします。この場合、Network Load Balancer を使用してエンドポイントサービスを作成します。Gateway Load Balancer を使用してエンドポイントサービスを作成する方法の詳細については、「[仮想アプライアンスにアクセスする](vpce-gateway-load-balancer.md)」を参照してください。

**Topics**
+ [考慮事項](#considerations-endpoint-services)
+ [前提条件](#prerequisites-endpoint-services)
+ [エンドポイントサービスを作成する](#create-endpoint-service-nlb)
+ [サービスコンシューマーがエンドポイントサービスを使用できるようにする](#share-endpoint-service)
+ [サービスコンシューマーとしてエンドポイントサービスに接続する](#connect-to-endpoint-service)

## 考慮事項
<a name="considerations-endpoint-services"></a>
+ エンドポイントサービスは、そのサービスを作成したリージョンで使用できます。コンシューマーは、[クロスリージョンアクセス](privatelink-share-your-services.md#endpoint-service-cross-region)を有効にする場合、または VPC ピアリングもしくはトランジットゲートウェイを使用する場合に、他のリージョンからサービスにアクセスできます。
+ サービスコンシューマーがエンドポイントサービスに関する情報を取得すると、サービスプロバイダーと共通するアベイラビリティゾーンのみが表示されます。サービスプロバイダーとサービスコンシューマーが異なるアカウントにある場合、`us-east-1a` などのアベイラビリティゾーン名は、各 AWS アカウントの異なる物理アベイラビリティゾーンにマッピングされる可能性があります。AZ ID を使用して、サービスのアベイラビリティゾーンを一貫して識別できます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[AZ ID](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids)」を参照してください。
+ サービスコンシューマーがインターフェイスエンドポイントを介してトラフィックをサービスに送信する場合、アプリケーションに提供されるソース IP アドレスは、サービスコンシューマーの IP アドレスではなく、ロードバランサーノードのプライベート IP アドレスです。ロードバランサーでプロキシプロトコルを有効にすると、プロキシプロトコルヘッダーからサービスコンシューマーのアドレスとインターフェイスエンドポイントの ID を取得できます。詳細については、*Network Load Balancer ユーザーガイド*の「[Proxy Protocol](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#proxy-protocol)」を参照してください。
+ Network Load Balancer は単一のエンドポイントサービスに関連付けることができますが、エンドポイントサービスは複数の Network Load Balancer に関連付けることができます。
+ エンドポイントサービスが複数の Network Load Balancer に関連付けられている場合、各エンドポイントネットワークインターフェイスは 1 つのロードバランサーに関連付けられます。エンドポイントネットワークインターフェイスからの最初の接続が開始されると、エンドポイントネットワークインターフェイスと同じアベイラビリティーゾーンにあるいずれかの Network Load Balancer がランダムに選択されます。このエンドポイントネットワークインターフェイスからの以降のすべての接続リクエストは、この選択されたロードバランサーを使用します。どのロードバランサーが選択されてもコンシューマーがエンドポイントサービスを正常に使用できるように、エンドポイントサービスのすべてのロードバランサーに同じリスナーとターゲットグループ設定を使用することをお勧めします。
+  AWS PrivateLink リソースにはクォータがあります。詳細については、「[AWS PrivateLink クォータ](vpc-limits-endpoints.md)」を参照してください。

## 前提条件
<a name="prerequisites-endpoint-services"></a>
+ サービスを使用可能にする各アベイラビリティゾーンに少なくとも 1 つのサブネットを持つエンドポイントサービス用に VPC を作成します。
+ サービスコンシューマーがエンドポイントサービス用に IPv6 インターフェイス VPC エンドポイントを作成できるようにするには、VPC とサブネットに IPv6 CIDR ブロックが関連付けられている必要があります。
+ VPC でNetwork Load Balancer を作成します。サービスコンシューマー向けにサービスを使用可能にするアベイラビリティゾーンごとに 1 つのサブネットを選択します。低レイテンシーとフォールトトレランスのために、リージョン内の少なくとも 2 つのアベイラビリティーゾーンでサービスを使用可能にすることをお勧めします。
+ Network Load Balancer にセキュリティグループがある場合は、クライアントの IP アドレスからのインバウンドトラフィックを許可する必要があります。または、経由するトラフィックのインバウンドセキュリティグループルールの評価をオフにすることもできます AWS PrivateLink。詳細については、「*User Guide for Network Load Balancers*」の「[Security groups](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-security-groups.html)」を参照してください。
+ エンドポイントサービスが IPv6 リクエストを受け入れることができるようにするには、Network Load Balancers は dualstack IP アドレスのタイプを使用する必要があります。ターゲットは IPv6 トラフィックをサポートする必要はありません。詳細については、「*User Guide for Network Load Balancers*」の「[IP address type](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#ip-address-type)」を参照してください。

  プロキシプロトコルバージョン 2 ヘッダーから送信元 IP アドレスを処理する場合は、IPv6 アドレスを処理できることを確認してください。
+ サービスを使用可能にする各アベイラビリティゾーンでインスタンスを起動し、ロードバランサーのターゲットグループに登録します。すべての有効なアベイラビリティゾーンでインスタンスを起動しない場合、クロスゾーン負荷分散を有効にして、ゾーンレベルの DNS ホスト名を使用するサービスコンシューマーがサービスにアクセスするのをサポートできます。クロスゾーン負荷分散を有効にすると、リージョン内データ転送料金が適用されます。詳細については、「*User Guide for Network Load Balancers*」の「[Cross-zone load balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#cross-zone-load-balancing)」を参照してください。

## エンドポイントサービスを作成する
<a name="create-endpoint-service-nlb"></a>

Network Load Balancer を使用してエンドポイントサービスを作成するには、次の手順を使用します。

**コンソールを使用してエンドポイントサービスを作成するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[Endpoint Services]** (エンドポイントサービス) を選択します。

1. **[Create endpoint service]**] (エンドポイントサービスの作成) を選択します。

1. **[Load balancer type]** (ロードバランサーのタイプ) で、**[Network]** を選択します。

1. [**使用可能なロードバランサー**] で、エンドポイントサービスに関連付ける Network Load Balancer を選択します。選択したロードバランサーで有効化されているアベイラビリティーゾーンを確認するには、**[選択されたロードバランサーの詳細]** で **[含まれるアベイラビリティーゾーン]** を参照してください。エンドポイントサービスは、これらのアベイラビリティーゾーンで利用できます。

1. (オプション) エンドポイントサービスがホストされているリージョン以外のリージョンからエンドポイントサービスを利用できるようにするには、**[サービスリージョン]** から目的のリージョンを選択します。詳細については、「[クロスリージョンアクセス](privatelink-share-your-services.md#endpoint-service-cross-region)」を参照してください。

1. エンドポイントサービスへの接続リクエストが手動で承諾されなければならないようにするために、**[Require acceptance for endpoint]** (エンドポイントの承諾を要求) で、**[Acceptance required]** (承諾が必要) を選択します。それ以外の場合、これらのリクエストは自動的に受け入れられます。

1. **[Enable private DNS name]** (プライベート DNS 名を有効にする) で、**[Associate a private DNS name with the service]** (プライベート DNS 名をサービスに関連付ける) を選択して、サービスコンシューマーがサービスにアクセスするために使用できるプライベート DNS 名を関連付け、プライベート DNS 名を入力します。それ以外の場合、サービスコンシューマーは が提供するエンドポイント固有の DNS 名を使用できます AWS。サービスコンシューマーがプライベート DNS 名を使用する前に、サービスプロバイダーはドメインを所有していることを確認する必要があります。詳細については、「[DNS 名を管理する](manage-dns-names.md)」を参照してください。

1. **[Supported IP address types]** (サポートされている IP アドレスのタイプ) で、次のいずれかを実行します。
   + **[IPv4]** を選択 – エンドポイントサービスが IPv4 リクエストを受け入れることができるようにします。
   + **[IPv6]** を選択 – エンドポイントサービスが IPv6 リクエストを受け入れることができるようにします。
   + **[IPv4]** と **[IPv6]** を選択 – エンドポイントサービスが IPv4 と IPv6 の両方のリクエストを受け入れることができるようにします。

1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力します。

1. **[作成]** を選択します。

**コマンドラインを使用してエンドポイントサービスを作成するには**
+ [create-vpc-endpoint-service-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html) (AWS CLI)
+ [New-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html) (Tools for Windows PowerShell)

## サービスコンシューマーがエンドポイントサービスを使用できるようにする
<a name="share-endpoint-service"></a>

AWS プリンシパルは、インターフェイス VPC エンドポイントを作成することで、エンドポイントサービスにプライベートに接続できます。サービスプロバイダーは、自社のサービスをサービスコンシューマーが使用できるようにするために、次のことを行う必要があります。
+ 各サービスコンシューマーがエンドポイントサービスに接続できるようにする許可を追加します。詳細については、「[許可を管理する](configure-endpoint-service.md#add-remove-permissions)」を参照してください。
+ サービスの名前とサポートされているアベイラビリティゾーンをサービスコンシューマーに伝え、サービスに接続するためにインターフェイスエンドポイントを作成できるようにします。詳細については、「[サービスコンシューマーとしてエンドポイントサービスに接続する](#connect-to-endpoint-service)」を参照してください。
+ サービスコンシューマーからのエンドポイント接続リクエストを受け入れます。詳細については、「[接続リクエストを承諾または拒否する](configure-endpoint-service.md#accept-reject-connection-requests)」を参照してください。

## サービスコンシューマーとしてエンドポイントサービスに接続する
<a name="connect-to-endpoint-service"></a>

サービスコンシューマーは、次の手順を使用して、エンドポイントサービスに接続するためのインターフェイスエンドポイントを作成します。

**コンソールを使用してインターフェイスエンドポイントを作成するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。

1. **[エンドポイントの作成]** を選択します。

1. **[タイプ]** で **[NLB と GWLB を使用するエンドポイントサービス]** を選択します。

1. **[サービス名]** にサービスの名前 (`com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc` など) を入力し、**[サービスの検証]** を選択します。

1. (オプション) エンドポイントリージョン以外のリージョンで利用可能なエンドポイントサービスに接続するには、**[サービスリージョン]**、**[クロスリージョンエンドポイントを有効にする]** の順に選択してから、目的のリージョンを選択します。詳細については、「[クロスリージョンアクセス](privatelink-share-your-services.md#endpoint-service-cross-region)」を参照してください。

1. **[サブネット]** でエンドポイントサービスへのアクセス元になるサブネットを選択します。

1. **[サブネット]** には、エンドポイントネットワークインターフェイスの作成先となるサブネットを選択します。

1. **[IP address type]** (IP アドレスのタイプ) で、次のオプションから選択します。
   + **[IPv4]** – エンドポイントネットワークインターフェイスに IPv4 アドレスを割り当てます。このオプションは、選択したすべてのサブネットに IPv4 のアドレス範囲があり、エンドポイントサービスが IPv4 リクエストを受け入れる場合にのみサポートされます。
   + **[IPv6]** – エンドポイントネットワークインターフェイスに IPv6 アドレスを割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットで、エンドポイントサービスが IIPv6 リクエストを受け入れる場合にのみサポートされます。
   + **[デュアルスタック]** – エンドポイントネットワークインターフェイスに IPv4 と IPv6 両方のアドレスを割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 の両方のアドレス範囲があり、エンドポイントサービスが IPv4 リクエストと IPv6 リクエストの両方を受け入れる場合にのみサポートされます。

1. **[DNS record IP type]** (DNS レコードの IP のタイプ) で、次のオプションから選択します。
   + **[IPv4]** — プライベート、リージョンレベル、ゾーンレベルの DNS 名の A レコードを作成します。IP アドレスのタイプは **[IPv4]** または **[Dualstack]** である必要があります。
   + **[IPv6]** — プライベート、リージョンレベル、ゾーンレベルの DNS 名の AAAA レコードを作成します。IP アドレスのタイプは **[IPv6]** または **[Dualstack]** である必要があります。
   + **[Dualstack]** — プライベート、リージョンレベル、ゾーンレベルの DNS 名の A および AAAA レコードを作成します。IP アドレスのタイプは **[Dualstack]** である必要があります。
   + **[Service defined]** (定義されたサービス) — プライベート、リージョンレベル、ゾーンレベルの DNS 名に A レコードを作成し、リージョンレベルおよびゾーンレベルの DNS 名に AAAA レコードを作成します。IP アドレスのタイプは **[Dualstack]** である必要があります。

1. **[Security group]** (セキュリティグループ) で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。

1. **エンドポイントの作成** を選択します。

**コマンドラインを使用してインターフェイスエンドポイントを作成するには**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html) (Tools for Windows PowerShell)