翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ゲートウェイエンドポイント
ゲートウェイ VPC エンドポイントは、VPC にインターネットゲートウェイや NAT デバイスを必要とせずに、Amazon S3 および DynamoDB への信頼性の高い接続を提供します。ゲートウェイエンドポイントは、他のタイプの VPC エンドポイントとは異なり AWS PrivateLink、 を使用しません。
Amazon S3 と DynamoDB は、ゲートウェイエンドポイントとインターフェイスエンドポイントの両方をサポートしています。オプションの比較については、以下を参照してください。
+ [Amazon S3 の VPC エンドポイントのタイプ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3)
+ [Amazon DynamoDB の VPC エンドポイントのタイプ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb)
**料金**
ゲートウェイエンドポイントは追加料金なしで使用できます。
**Topics**
+ [概要:](#gateway-endpoint-overview)
+ [ルーティング](#gateway-endpoint-routing)
+ [セキュリティ](#gateway-endpoint-security)
+ [IP アドレスタイプ](#gateway-endpoint-ip-address-type)
+ [DNS レコード IP タイプ](#gateway-endpoint-dns-record-ip-type)
+ [Amazon S3 におけるエンドポイント](vpc-endpoints-s3.md)
+ [DynamoDB のエンドポイント](vpc-endpoints-ddb.md)
## 概要:
Amazon S3 と DynamoDB には、パブリックサービスエンドポイントまたはゲートウェイエンドポイントを通じてアクセスできます。この概要では、これらの方法を比較します。
**インターネットゲートウェイ経由でアクセスする**
次の図は、インスタンスがパブリックサービスエンドポイントを通じて Amazon S3 および DynamoDB にアクセスする方法を示しています。パブリックサブネットのインスタンスから Amazon S3 または DynamoDB へのトラフィックは、VPC のためにインターネットゲートウェイにルーティングされ、その後にサービスにルーティングされます。定義上、プライベートサブネットにはインターネットゲートウェイへのルートがないため、プライベートサブネットのインスタンスは Amazon S3 や DynamoDB にトラフィックを送信できません。プライベートサブネットのインスタンスが Amazon S3 または DynamoDB にトラフィックを送信できるようにするには、パブリックサブネットに NAT デバイスを追加し、プライベートサブネットのトラフィックを NAT デバイスにルーティングする必要があります。Amazon S3 または DynamoDB へのトラフィックがインターネットゲートウェイを通過する間、 AWS ネットワークから出ることはありません。
![\[トラフィックはインターネットゲートウェイを介して VPC を離れますが、 AWS ネットワークにとどまります。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/without-gateway-endpoints.png)
**ゲートウェイエンドポイント経由でアクセスする**
次の図は、インスタンスがゲートウェイエンドポイントを通じて Amazon S3 および DynamoDB にアクセスする方法を示しています。VPC から Amazon S3 または DynamoDB へのトラフィックは、ゲートウェイエンドポイントにルーティングされます。各サブネットルートテーブルには、サービスのプレフィックスリストを使用して、サービス宛てのトラフィックをゲートウェイエンドポイントに送信するルートが必要です。詳細については、「*Amazon VPC ユーザーガイド*」の「[AWSマネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)」を参照してください。
![\[VPC からのトラフィックは、ゲートウェイエンドポイントにルーティングされます。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/gateway-endpoints.png)
## ルーティング
ゲートウェイエンドポイントを作成するときは、有効にするサブネットの VPC ルートテーブルを選択します。次のルートは、選択した各ルートテーブルに自動的に追加されます。送信先は が所有するサービスのプレフィックスリスト AWS であり、ターゲットはゲートウェイエンドポイントです。
| ルーティング先 | ターゲット |
| --- | --- |
| prefix\$1list\$1id | gateway\$1endpoint\$1id |
**考慮事項**
+ ルートテーブルに追加されたエンドポイントルートは確認できますが、変更または削除できません。エンドポイントルートをルートテーブルに追加するには、それをゲートウェイエンドポイントに関連付けます。ルートテーブルとゲートウェイエンドポイントの関連付けを解除するか、ゲートウェイエンドポイントを削除すると、エンドポイントルートが削除されます。
+ ゲートウェイエンドポイントに関連付けられたルートテーブルに関連付けられたサブネットのすべてのインスタンスは、ゲートウェイエンドポイントを使用してサービスにアクセスします。これらのルートテーブルに関連付けられていないサブネット内のインスタンスは、ゲートウェイエンドポイントではなくパブリックサービスエンドポイントを使用します。
+ ルートテーブルには、Amazon S3 へのエンドポイントルートと DynamoDB へのエンドポイントルートの両方を含めることができます。同じサービス (Amazon S3 または DynamoDB) へのエンドポイントルートを複数のルートテーブルに含めることができます。1 つのルートテーブルに同じサービス (Amazon S3 または DynamoDB) への複数のエンドポイントルートを持つことはできません。
+ 当社は、トラフィックと一致する最も具体的なルートを使用して、トラフィックをルーティングする方法を決定します (最長プレフィックス一致)。エンドポイントルートのあるルートテーブルの場合、これは次のことを意味します。
+ すべてのインターネットトラフィック (0.0.0.0/0) をインターネットゲートウェイに送信するルートがある場合、現在のリージョンのサービス (Amazon S3 または DynamoDB) 宛てのトラフィックでエンドポイントルートが優先されます。別の 宛てのトラフィックは、インターネットゲートウェイ AWS のサービス を使用します。
+ プレフィックスリストはリージョンに固有であるため、別のリージョンのサービス (Amazon S3 または DynamoDB) 宛てのトラフィックはインターネットゲートウェイに送信されます。
+ 同じリージョンにサービス (Amazon S3 または DynamoDB) の正確な IP アドレス範囲を指定するルートがある場合は、そのルートがエンドポイントルートよりも優先されます。
## セキュリティ
インスタンスがゲートウェイエンドポイントを介して Amazon S3 または DynamoDB にアクセスする場合、インスタンスはパブリックエンドポイントを使用してサービスにアクセスします。これらのインスタンスのセキュリティグループは、サービスとの間のトラフィックを許可する必要があります。以下は、アウトバウンドルールの例です。サービスの[プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)の ID を参照します。
| 目的地 | プロトコル | ポート範囲 |
| --- | --- | --- |
| prefix\$1list\$1id | TCP | 443 |
これらのインスタンスのサブネットにおけるネットワーク ACL でも、サービスとの間のトラフィックを許可する必要があります。以下は、アウトバウンドルールの例です。ネットワーク ACL ルールでプレフィックスリストを参照することはできませんが、プレフィックスリストからサービスの IP アドレス範囲は取得できます。
| 目的地 | プロトコル | ポート範囲 |
| --- | --- | --- |
| service\$1cidr\$1block\$11 | TCP | 443 |
| service\$1cidr\$1block\$12 | TCP | 443 |
| service\$1cidr\$1block\$13 | TCP | 443 |
## IP アドレスタイプ
ルートテーブルにどのプレフィックスリストが関連付けられるかは、IP アドレスタイプによって決まります。
**ゲートウェイエンドポイントで IPv6 を有効にするための要件**
+ 以下の説明にあるとおり、ゲートウェイエンドポイントの IP アドレスタイプには、ゲートウェイエンドポイントのサブネットとの互換性がある必要があります。
+ **[IPv4]** – ルートテーブルにサービスの IPv4 プレフィックスリストを追加します。
+ **[IPv6]** – ルートテーブルにサービスの IPv6 プレフィックスリストを追加します。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。
+ **[デュアルスタック]** – ルートテーブルにサービスの IPv4 プレフィックスリストと IPv6 プレフィックスリストを追加します。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲がある場合にのみサポートされます。
## DNS レコード IP タイプ
デフォルトでは、ゲートウェイエンドポイントは呼び出したサービスエンドポイントに基づいて DNS レコードを返します。などの IPv4 サービスエンドポイントを使用してゲートウェイエンドポイントを作成すると`s3.us-east-2.amazonaws.com`、Amazon S3 はクライアントに A レコードを返し、ルートテーブル内のすべてのサブネットは IPv4 を使用します。
対照的に、 などのデュアルスタックサービスエンドポイントを使用してゲートウェイエンドポイントを作成すると`s3.dualstack.us-east-2.amazonaws.com`、Amazon S3 は A レコードと AAAA レコードの両方をクライアントに返し、ルートテーブルのサブネットは IPv4 と IPv6 を使用します。
**注記**
ディレクトリバケットまたは S3 Express One Zone の場合、データプレーンのゲートウェイエンドポイント`s3express-use2-az1.dualstack.us-east-2.amazonaws.com`はそれぞれ `s3express-use2-az1.us-east-2.amazonaws.com`および になります。
DNS レコードの IP タイプは、クライアントへのトラフィックのルーティング方法に影響します。IPv4 サービスエンドポイントを使用してゲートウェイエンドポイントを作成し、デュアルスタックサービスエンドポイントを呼び出すと、AAAA レコードを使用するトラフィックはゲートウェイエンドポイント経由でルーティングされません。IPv6-compatibleパスが存在する場合、トラフィックはドロップまたはルーティングされます。サービス定義の DNS レコード IP タイプを使用する場合は、サービスが複数のサービスエンドポイントからの可変呼び出しを処理できることを確認してください。
[サービス定義](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptionsSpecification.html)のデフォルトの DNS レコード IP タイプ設定の代わりに、DNS レコード IP タイプをカスタマイズして、特定のエンドポイントに対して返されるレコードを選択できます。以下の表には、サポートされている DNS レコード IP タイプと返されるレコードタイプが記載されています。
| DNS レコード IP タイプ | 返されるレコードタイプ |
| --- | --- |
| IPv4 | A |
| IPv6 | AAAA |
| デュアルスタック | A および AAAA |
| サービス定義 | レコードはサービスエンドポイントによって異なります。 |
DNS レコードの IP タイプを選択するには、エンドポイントサービスに互換性のある IP アドレスタイプを使用する必要があります。次の表は、ゲートウェイエンドポイントの各 IP アドレスタイプでサポートされている DNS レコード IP タイプを示しています。
| IP アドレスタイプ | サポートされる DNS レコード IP タイプ |
| --- | --- |
| IPv4 | IPv4、サービス定義\$1 |
| IPv6 | IPv6、サービス定義\$1 |
| デュアルスタック | IPv4、IPv6、デュアルスタック、サービス定義\$1 |
\$1デフォルトの DNS レコード IP タイプを表します。
**注記**
Gateway エンドポイントにサービス定義以外の DNS レコード IP タイプを使用するには、VPC 設定で `enableDnsSupport`および `enableDnsHostnames` 属性を許可する必要があります。
DynamoDB ゲートウェイエンドポイントの DNS レコード IP タイプを変更することはできません。DynamoDB は、サービス定義の DNS レコード IP タイプのみをサポートします。
インターフェイスエンドポイントでは、DNS レコード IP タイプの動作が異なります。詳細については、「[インターフェイスエンドポイントの DNS レコード IP タイプ](privatelink-access-aws-services.md#aws-services-dns-record-ip-type)」を参照してください。
# Amazon S3 のゲートウェイエンドポイント
ゲートウェイ VPC エンドポイントを使用して、VPC から Amazon S3 にアクセスできます。ゲートウェイエンドポイントを作成したら、そのエンドポイントをルートテーブル内のターゲットとして、VPC から Amazon S3 に送信されるトラフィック用に追加できます。
ゲートウェイエンドポイントは追加料金なしで使用できます。
Amazon S3 は、ゲートウェイエンドポイントとインターフェイスエンドポイントの両方をサポートしています。ゲートウェイエンドポイントを使用して、VPC 用のインターネットゲートウェイや NAT デバイスを必要とせず、VPC から Amazon S3 にアクセスすることができます。ただし、ゲートウェイエンドポイントは、オンプレミスネットワーク、他の AWS リージョンのピア接続された VPCs、またはトランジットゲートウェイからのアクセスを許可しません。このようなシナリオでは、追加料金で利用できるインターフェイスエンドポイントを使用する必要があります。詳細については、「*Amazon S3 ユーザーガイド*」の「[Amazon S3 の VPC エンドポイントのタイプ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3)」を参照してください。
**Topics**
+ [考慮事項](#gateway-endpoint-considerations-s3)
+ [プライベート DNS](#private-dns-s3)
+ [ゲートウェイエンドポイントを作成する](#create-gateway-endpoint-s3)
+ [バケットポリシーを使用してアクセスを制御する](#bucket-policies-s3)
+ [ルートテーブルを関連付ける](#associate-route-tables-s3)
+ [VPC エンドポイントポリシーを編集する](#edit-vpc-endpoint-policy-s3)
+ [ゲートウェイエンドポイントを削除する](#delete-gateway-endpoint-s3)
## 考慮事項
+ ゲートウェイエンドポイントは、それを作成したリージョンでのみ使用できます。必ず S3 バケットと同じリージョンにゲートウェイエンドポイントを作成してください。
+ Amazon DNS サーバーを使用している場合は、VPC の [DNS ホスト名と DNS 解決](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)の両方を有効にする必要があります。独自の DNS サーバーを使用している場合は、Amazon S3 へのリクエストが AWSによって維持されている IP アドレスに正しく解決されることを確認してください。
+ ゲートウェイエンドポイントを通じて Amazon S3 にアクセスするインスタンスのセキュリティグループのルールは、Amazon S3 との間のトラフィックを許可する必要があります。Amazon S3 の[プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) ID は、セキュリティグループルールで参照できます。
+ ゲートウェイエンドポイントを通じて Amazon S3 にアクセスするインスタンスのサブネットのネットワーク ACL は、Amazon S3 との間のトラフィックを許可する必要があります。ネットワーク ACL ルールでプレフィックスリストを参照することはできませんが、Amazon S3 の IP アドレス範囲は Amazon S3 の[プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)から取得できます。
+ S3 バケットへのアクセス AWS のサービス を必要とする を使用しているかどうかを確認します。例えば、サービスがログファイルを含むバケットへのアクセスを必要とする場合や、ドライバーまたはエージェントを EC2 インスタンスにダウンロードする必要がある場合があります。その場合は、エンドポイントポリシーで、 AWS のサービス または リソースが `s3:GetObject`アクションを使用してこれらのバケットにアクセスすることを許可していることを確認します。
+ VPC エンドポイントを通過する Amazon S3 へのリクエストでは、アイデンティティポリシーおよびバケットポリシーで `aws:SourceIp` 条件を使用することはできません。代わりに `aws:VpcSourceIp` 条件を使用してください。ルートテーブルを使用して、VPC エンドポイントから Amazon S3 にアクセスできる EC2 インスタンスを制御することもできます。
+ Amazon S3 が受信した、影響を受けるサブネット内のインスタンスからのソース IPv4 または IPv6 アドレスは、パブリックアドレスから VPC 内のプライベートアドレスに変更されます。エンドポイントはネットワークルートを切り替え、開いている TCP 接続を切断します。パブリックアドレスを使用した以前の接続は再開されません。エンドポイントの作成または変更は、重要なタスクが実行中でないときに行うことをお勧めします。または、接続の障害後に、ソフトウェアが Amazon S3 に自動的に再接続できることをテストするようお勧めします。
+ エンドポイントの接続を、VPC から延長することはできません。VPN 接続、VPC ピアリング接続、トランジットゲートウェイ、または VPC 内の Direct Connect 接続の反対側にあるリソースは、ゲートウェイエンドポイントを使用して Amazon S3 と通信することはできません。
+ アカウントには、リージョンあたり 20 個のゲートウェイエンドポイントのデフォルトクォータがあり、調整可能です。また、VPC あたりのゲートウェイエンドポイントの数は 255 に制限されています。
## プライベート DNS
Amazon S3 のゲートウェイエンドポイントとインターフェイスエンドポイントの両方を作成するときに、プライベート DNS を設定してコストを最適化できます。
**Route 53 Resolver**
Amazon は、「[Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。Route 53 は、VPC の外から Route 53 Resolver を使用できるように、Resolver エンドポイントと Resolver ルールを提供します。*インバウンドリゾルバーエンドポイント*は、DNS クエリをオンプレミスネットワークから Route 53 Resolver に転送します。*アウトバウンド Resolver エンドポイント*は、Route 53 Resolver から DNS クエリをオンプレミスネットワークに転送します。
Amazon S3 のインターフェイスエンドポイントをインバウンド Resolver エンドポイントにのみプライベート DNS を使用するように設定すると、インバウンド Resolver エンドポイントが作成されます。インバウンド Resolver エンドポイントは、オンプレミスからの Amazon S3 への DNS クエリをインターフェイスエンドポイントのプライベート IP アドレスに解決します。また、Route 53 Resolver の ALIAS レコードを Amazon S3 のパブリックホストゾーンに追加して、VPC からの DNS クエリが Amazon S3 のパブリック IP アドレスに解決され、トラフィックがゲートウェイエンドポイントにルーティングされるようにします。
**プライベート DNS**
Amazon S3 のインターフェイスエンドポイントにはプライベート DNS を設定し、インバウンドの Resolver エンドポイントにのみプライベート DNS を設定しない場合、オンプレミスネットワークと VPC の両方からのリクエストは、インターフェイスエンドポイントを使用して Amazon S3 にアクセスします。そのため、追加料金なしでゲートウェイエンドポイントを使用する代わりに、VPC からのトラフィックにはインターフェイスエンドポイントを使用するため料金が発生します。
![\[両方のエンドポイントタイプを伴う Amazon S3 リクエストルーティング。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/s3-private-dns-default.png)
**インバウンド Resolver エンドポイント専用のプライベート DNS**
インバウンドの Resolver エンドポイントのみにプライベート DNS を設定する場合、オンプレミスネットワークからのリクエストはインターフェイスエンドポイントを使用して Amazon S3 にアクセスし、VPC からのリクエストはゲートウェイエンドポイントを使用して Amazon S3 にアクセスします。そのため、ゲートウェイエンドポイントを使用できないトラフィックにのみインターフェイスエンドポイントの使用料を支払うので、コストを最適化できます。
これを設定するには、ゲートウェイエンドポイントの DNS レコード IP タイプがインターフェイスエンドポイントと一致するか、`service-defined`. AWS PrivateLink does が他の組み合わせをサポートしていない必要があります。詳細については、「[DNS レコード IP タイプ](gateway-endpoints.md#gateway-endpoint-dns-record-ip-type)」を参照してください。
![\[プライベート DNS とインバウンド Resolver エンドポイントを伴う Amazon S3 リクエストルーティング。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/s3-private-dns-inbound-endpoint.png)
**プライベート DNS の設定**
Amazon S3 のインターフェイスエンドポイントのプライベート DNS は、作成時または作成後に設定できます。詳細については、「[VPC エンドポイントの作成](create-interface-endpoint.md#create-interface-endpoint-aws) (作成中に設定)」または「[プライベート DNS 名を有効にする](interface-endpoints.md#enable-private-dns-names) (作成後に設定)」を参照してください。
## ゲートウェイエンドポイントを作成する
次の手順を使用して、Amazon S3 に接続するゲートウェイエンドポイントを作成します。
**コンソールを使用してゲートウェイエンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. **[エンドポイントの作成]** を選択します。
1. **[サービスカテゴリ]** で、**[AWS のサービス]** を選択します。
1. **サービス**の場合は、フィルター**タイプ = ゲートウェイ**を追加します。
Amazon S3 データが汎用バケットに保存されている場合は、**com.amazonaws.***region***.s3** を選択します。
Amazon S3 データがディレクトリバケットに保存されている場合は、**com.amazonaws.***region***.s3express** を選択します。
1. **[VPC]** で、エンドポイントを作成する先の VPC を選択します。
1. **[IP address type]** (IP アドレスのタイプ) で、次のオプションから選択します。
+ **[IPv4]** – エンドポイントネットワークインターフェイスに IPv4 アドレスを割り当てます。このオプションは、選択したすべてのサブネットに IPv4 のアドレス範囲があり、サービスが IPv4 リクエストを受け入れる場合にのみサポートされます。
+ **[IPv6]** – エンドポイントネットワークインターフェイスに IPv6 アドレスを割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットで、サービスが IIPv6 リクエストを受け入れる場合にのみサポートされます。
+ **[デュアルスタック]** – エンドポイントネットワークインターフェイスに IPv4 と IPv6 両方のアドレスを割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 の両方のアドレス範囲があり、サービスが IPv4 リクエストと IPv6 リクエストの両方を受け入れる場合にのみサポートされます。
1. **[Route tables]** (ルートテーブル) で、エンドポイントで使用するルートテーブルを選択します。サービス宛てのトラフィックをエンドポイントのネットワークインターフェイスにポイントするルートが自動的に追加されます。
1. **[Policy]** (ポリシー) で **[Full access]** (フルアクセス) を選択して、すべてのリソースに対するすべてのプリンシパルによる VPC エンドポイント経由のすべてのオペレーションを許可します。それ以外の場合は、**[Custom]** (カスタム) を選択して、VPC エンドポイント経由でリソースに対してアクションを実行するためにプリンシパルが持つ許可を制御する VPC エンドポイントポリシーをアタッチします。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. **エンドポイントの作成** を選択します。
**コマンドラインを使用してゲートウェイエンドポイントを作成するには**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
## バケットポリシーを使用してアクセスを制御する
バケットポリシーを使用して、特定のエンドポイント、VPCs、IP アドレス範囲、および からバケットへのアクセスを制御できます AWS アカウント。これらの例では、ユースケースに必要なアクセスを許可するポリシーステートメントがあることを前提としています。
**Example 例: 特定のエンドポイントへのアクセスを制限する**
[aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 条件キーを使用して、特定のエンドポイントへのアクセスを制限するバケットポリシーを作成できます。次のポリシーは、指定されたゲートウェイエンドポイントが使用された場合を除き、指定されたアクションでの指定バケットへのアクセスを拒否します。このポリシーは、指定されたアクションでの AWS マネジメントコンソールを介した指定バケットへのアクセスをブロックすることに注意してください。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPCE",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
```
**Example 例: 特定の VPC へのアクセスを制限する**
[aws:sourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) 条件キーを使用して、特定の VPC へのアクセスを制限するバケットポリシーを作成できます。これは、同じ VPC で複数のエンドポイントを設定済みである場合に便利です。次のポリシーは、リクエストが指定された VPC からのものである場合を除き、指定されたアクションでの指定バケットへのアクセスを拒否します。このポリシーは、指定されたアクションでの AWS マネジメントコンソールを介した指定バケットへのアクセスをブロックすることに注意してください。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPC",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::example_bucket",
"arn:aws:s3:::example_bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpc": "vpc-111bbb22"
}
}
}
]
}
```
**Example 例: 特定の IP アドレス範囲へのアクセスを制限する**
[aws:VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) 条件キーを使用して、特定の IP アドレス範囲へのアクセスを制限するポリシーを作成できます。次のポリシーは、リクエストが指定された IP アドレスからのものである場合を除き、指定されたアクションでの指定バケットへのアクセスを拒否します。このポリシーは、指定されたアクションでの AWS マネジメントコンソールを介した指定バケットへのアクセスをブロックすることに注意してください。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-VPC-CIDR",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"],
"Resource": ["arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"],
"Condition": {
"NotIpAddress": {
"aws:VpcSourceIp": "172.31.0.0/16"
}
}
}
]
}
```
**Example 例: 特定の のバケットへのアクセスを制限する AWS アカウント**
`s3:ResourceAccount` 条件キーを使用して、特定の AWS アカウント の S3 バケットへのアクセスを制限するポリシーを作成できます。次のポリシーは、指定された AWS アカウントによって S3 バケットが所有されている場合を除き、指定されたアクションでの S3 バケットへのアクセスを拒否します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-bucket-in-specific-account",
"Effect": "Deny",
"Principal": "*",
"Action": ["s3:GetObject", "s3:PutObject", "s3:DeleteObject"],
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringNotEquals": {
"s3:ResourceAccount": "111122223333"
}
}
}
]
}
```
## ルートテーブルを関連付ける
ゲートウェイエンドポイントに関連付けられているルートテーブルを変更できます。ルートテーブルを関連付けると、サービス宛てのトラフィックをエンドポイントのネットワークインターフェイスにポイントするルートが自動的に追加されます。ルートテーブルの関連付けを解除すると、エンドポイントルートはルートテーブルから自動的に削除されます。
**コンソールを使用してルートテーブルを関連付けるには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. ゲートウェイエンドポイントを選択する
1. [**Actions**]、[**Manage route tables**] の順に選択します。
1. 必要に応じて、ルートテーブルを選択または選択解除します。
1. **[Modify route tables]** (ルートテーブルを変更) を選択します。
**コマンドラインを使用してルートテーブルを関連付けるには**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
## VPC エンドポイントポリシーを編集する
ゲートウェイエンドポイントのエンドポイントポリシーを編集して、VPC から Amazon S3 へのエンドポイント経由のアクセスを制御できます。エンドポイントポリシーを更新した後、変更が有効になるまでに数分かかる場合があります。デフォルトポリシーでは、フルアクセスを許可します。詳細については、「[エンドポイントポリシー](vpc-endpoints-access.md)」を参照してください。
**コンソールを使用してエンドポイントポリシーを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. ゲートウェイエンドポイントを選択する
1. **[Actions]** (アクション)、**[Manage policy]** (ポリシーを管理) の順に選択します。
1. **[Full Access]** (フルアクセス) を選択してサービスへのフルアクセスを許可するか、**[Custom]** (カスタム) を選択してカスタムポリシーをアタッチします。
1. **[保存]** を選択します。
Amazon S3 にアクセスするためのエンドポイントのポリシーの例は次のとおりです。
**Example 例: 特定のバケットへのアクセスを制限する**
特定の S3 バケットへのアクセスを制限するポリシーを作成できます。これは、VPC AWS のサービス 内に S3 バケットを使用する他の がある場合に便利です。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-bucket",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket_name",
"arn:aws:s3:::bucket_name/*"
]
}
]
}
```
**Example 例: 特定の IAM ロールへのアクセスを制限する**
特定の IAM ロールへのアクセスを制限するポリシーを作成できます。`aws:PrincipalArn` を使用してプリンシパルへのアクセスを許可する必要があります。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-to-specific-IAM-role",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
}
}
}
]
}
```
**Example 例: 特定のアカウントのユーザーへのアクセスを制限する**
特定のアカウントへのアクセスを制限するポリシーを作成できます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-callers-from-specific-account",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
## ゲートウェイエンドポイントを削除する
不要になったゲートウェイエンドポイントは、削除することができます。ゲートウェイエンドポイントを削除すると、エンドポイントルートがサブネットルートテーブルから削除されます。
プライベート DNS が有効になった場合、ゲートウェイエンドポイントを削除することはできません。
**コンソールを使用してゲートウェイエンドポイントを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. ゲートウェイエンドポイントを選択する
1. **[Actions]** (アクション)、**[Delete VPC endpoints]** (VPC エンドポイントを削除) の順に選択します。
1. 確認を求められたら、**delete** をクリックしてください。
1. **[削除]** を選択します。
**コマンドラインを使用してゲートウェイエンドポイントを削除するには**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
# Amazon DynamoDB のゲートウェイエンドポイント
ゲートウェイ VPC エンドポイントを使用して、VPC から Amazon DynamoDB にアクセスできます。ゲートウェイエンドポイントを作成したら、そのエンドポイントをルートテーブル内のターゲットとして、VPC から DynamoDB に送信されるトラフィック用に追加できます。
ゲートウェイエンドポイントは追加料金なしで使用できます。
DynamoDB は、ゲートウェイエンドポイントとインターフェイスエンドポイントの両方をサポートしています。ゲートウェイエンドポイントを使用して、VPC 用のインターネットゲートウェイや NAT デバイスを必要とせず、VPC から DynamoDB にアクセスすることができます。ただし、ゲートウェイエンドポイントは、オンプレミスネットワーク、他の AWS リージョンのピア接続された VPCs、またはトランジットゲートウェイからのアクセスを許可しません。このようなシナリオでは、追加料金で利用できるインターフェイスエンドポイントを使用する必要があります。詳細については、「*Amazon DynamoDB デベロッパーガイド*」の「[Amazon DynamoDB で使用される Amazon VPC エンドポイントのタイプ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb)」を参照してください。
**Topics**
+ [考慮事項](#gateway-endpoint-considerations-ddb)
+ [ゲートウェイエンドポイントを作成する](#create-gateway-endpoint-ddb)
+ [IAM ポリシーを使用してアクセスを制御する](#iam-policies-ddb)
+ [ルートテーブルを関連付ける](#associate-route-tables-ddb)
+ [VPC エンドポイントポリシーを編集する](#edit-vpc-endpoint-policy-ddb)
+ [ゲートウェイエンドポイントを削除する](#delete-gateway-endpoint-ddb)
## 考慮事項
+ ゲートウェイエンドポイントは、それを作成したリージョンでのみ使用できます。必ず DynamoDB テーブルと同じリージョンにゲートウェイエンドポイントを作成してください。
+ Amazon DNS サーバーを使用している場合は、VPC の [DNS ホスト名と DNS 解決](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)の両方を有効にする必要があります。独自の DNS サーバーを使用している場合は、DynamoDB へのリクエストが AWSによって維持されている IP アドレスに正しく解決されることを確認してください。
+ ゲートウェイエンドポイントを通じて DynamoDB にアクセスするインスタンスのセキュリティグループのルールは、DynamoDB との間のトラフィックを許可する必要があります。DynamoDB の[プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) ID は、セキュリティグループルールで参照できます。
+ ゲートウェイエンドポイントを通じて DynamoDB にアクセスするインスタンスのサブネットのネットワーク ACL は、DynamoDB との間のトラフィックを許可する必要があります。ネットワーク ACL ルールでプレフィックスリストを参照することはできませんが、DynamoDB の IP アドレス範囲は DynamoDB の[プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)から取得できます。
+ AWS CloudTrail を使用して DynamoDB オペレーションをログに記録する場合、ログファイルには、サービスコンシューマー VPC 内の EC2 インスタンスのプライベート IP アドレスと、エンドポイントを介して実行されるリクエストのゲートウェイエンドポイントの ID が含まれます。
+ ゲートウェイエンドポイントは、IPv4 トラフィックのみをサポートします。
+ 影響を受けるサブネットのインスタンスからのソース IPv4 アドレスは、パブリック IPv4 アドレスから VPC のプライベート IPv4 アドレスに変更されます。エンドポイントはネットワークルートを切り替え、開いている TCP 接続を切断します。パブリック IPv4 アドレスを使用した以前の接続は再開されません。ゲートウェイエンドポイントの作成または変更は、重要なタスクが実行中でないときに行うことをお勧めします。または、接続が切断された場合にソフトウェアが DynamoDB に自動的に再接続できることを確認するためにテストしてください。
+ エンドポイントの接続を、VPC から延長することはできません。VPN 接続、VPC ピアリング接続、トランジットゲートウェイ、または VPC 内の Direct Connect 接続の反対側のリソースは、ゲートウェイエンドポイントを使用して DynamoDB と通信することはできません。
+ アカウントには、リージョンあたり 20 個のゲートウェイエンドポイントのデフォルトクォータがあり、調整可能です。また、VPC あたりのゲートウェイエンドポイントの数は 255 に制限されています。
## ゲートウェイエンドポイントを作成する
次の手順を使用して、DynamoDB に接続するゲートウェイエンドポイントを作成します。
**コンソールを使用してゲートウェイエンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. **[エンドポイントの作成]** を選択します。
1. **[サービスカテゴリ]** で、**[AWS のサービス]** を選択します。
1. **[サービス]** で、**[タイプ] = [ゲートウェイ]** でフィルタリングし、**com.amazonaws.***region***.dynamodb** を選択します。
1. **[VPC]** で、エンドポイントを作成する先の VPC を選択します。
1. **[Route tables]** (ルートテーブル) で、エンドポイントで使用するルートテーブルを選択します。サービス宛てのトラフィックをエンドポイントのネットワークインターフェイスにポイントするルートが自動的に追加されます。
1. **[Policy]** (ポリシー) で **[Full access]** (フルアクセス) を選択して、すべてのリソースに対するすべてのプリンシパルによる VPC エンドポイント経由のすべてのオペレーションを許可します。それ以外の場合は、**[Custom]** (カスタム) を選択して、VPC エンドポイント経由でリソースに対してアクションを実行するためにプリンシパルが持つ許可を制御する VPC エンドポイントポリシーをアタッチします。
1. (オプション) タグを追加するには、[**新しいタグを追加**] を選択し、そのタグのキーと値を入力してください。
1. **エンドポイントの作成** を選択します。
**コマンドラインを使用してゲートウェイエンドポイントを作成するには**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
## IAM ポリシーを使用してアクセスを制御する
IAM ポリシーを作成して、特定の VPC エンドポイントを使用して DynamoDB テーブルにアクセスできる IAM プリンシパルを制御できます。
**Example 例: 特定のエンドポイントへのアクセスを制限する**
[aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 条件キーを使用して、特定の VPC エンドポイントへのアクセスを制限するポリシーを作成できます。次のポリシーは、指定された VPC エンドポイントが使用されていない限り、アカウントの DynamoDB テーブルへのアクセスを拒否します。この例では、ユースケースに必要なアクセスを許可するポリシーステートメントがあることを前提としています。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-specific-endpoint",
"Effect": "Deny",
"Principal": "*",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-1:111111111111:table/*",
"Condition": {
"StringNotEquals" : {
"aws:sourceVpce": "vpce-11aa22bb"
}
}
}
]
}
```
**Example 例: 特定の IAM ロールからのアクセスを許可する**
特定の IAM ロールを使用してアクセスを許可するポリシーを作成できます。次のポリシーは、指定された IAM ロールに対するアクセス権を付与します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-specific-IAM-role",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"ArnEquals": {
"aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name"
}
}
}
]
}
```
**Example 例: 特定のアカウントからのアクセスを許可する**
特定のアカウントからのアクセスのみを許可するポリシーを作成できます。次のポリシーでは、指定されたアカウントのユーザーに対するアクセス権を付与します。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-access-from-account",
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
## ルートテーブルを関連付ける
ゲートウェイエンドポイントに関連付けられているルートテーブルを変更できます。ルートテーブルを関連付けると、サービス宛てのトラフィックをエンドポイントのネットワークインターフェイスにポイントするルートが自動的に追加されます。ルートテーブルの関連付けを解除すると、エンドポイントルートはルートテーブルから自動的に削除されます。
**コンソールを使用してルートテーブルを関連付けるには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. ゲートウェイエンドポイントを選択する
1. [**Actions**]、[**Manage route tables**] の順に選択します。
1. 必要に応じて、ルートテーブルを選択または選択解除します。
1. **[Modify route tables]** (ルートテーブルを変更) を選択します。
**コマンドラインを使用してルートテーブルを関連付けるには**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
## VPC エンドポイントポリシーを編集する
ゲートウェイエンドポイントのエンドポイントポリシーを編集して、VPC から DynamoDB へのエンドポイント経由のアクセスを制御できます。エンドポイントポリシーを更新した後、変更が有効になるまでに数分かかる場合があります。デフォルトポリシーでは、フルアクセスを許可します。詳細については、「[エンドポイントポリシー](vpc-endpoints-access.md)」を参照してください。
**コンソールを使用してエンドポイントポリシーを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. ゲートウェイエンドポイントを選択する
1. **[Actions]** (アクション)、**[Manage policy]** (ポリシーを管理) の順に選択します。
1. **[Full Access]** (フルアクセス) を選択してサービスへのフルアクセスを許可するか、**[Custom]** (カスタム) を選択してカスタムポリシーをアタッチします。
1. **[保存]** を選択します。
**コマンドラインを使用してゲートウェイエンドポイントを変更するには**
+ [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html) (AWS CLI)
+ [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
DynamoDB にアクセスするためのエンドポイントのポリシーの例は次のとおりです。
**Example 例: 読み取り専用アクセスを許可する**
アクセスを読み取り専用アクセスに制限するポリシーを作成できます。次のポリシーは、DynamoDB テーブルを一覧表示および説明するための許可を付与します。
```
{
"Statement": [
{
"Sid": "ReadOnlyAccess",
"Effect": "Allow",
"Principal": "*",
"Action": [
"dynamodb:DescribeTable",
"dynamodb:ListTables"
],
"Resource": "*"
}
]
}
```
**Example 例: 特定のテーブルへのアクセスの制限**
特定の DynamoDB テーブルへのアクセスを制限するポリシーを作成できます。次のポリシーは、指定された DynamoDB テーブルへのアクセスを許可します。
```
{
"Statement": [
{
"Sid": "Allow-access-to-specific-table",
"Effect": "Allow",
"Principal": "*",
"Action": [
"dynamodb:Batch*",
"dynamodb:Delete*",
"dynamodb:DescribeTable",
"dynamodb:GetItem",
"dynamodb:PutItem",
"dynamodb:Update*"
],
"Resource": "arn:aws:dynamodb:region:123456789012:table/table_name"
}
]
}
```
## ゲートウェイエンドポイントを削除する
不要になったゲートウェイエンドポイントは、削除することができます。ゲートウェイエンドポイントを削除すると、エンドポイントルートがサブネットルートテーブルから削除されます。
**コンソールを使用してゲートウェイエンドポイントを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Endpoints]** (エンドポイント) を選択します。
1. ゲートウェイエンドポイントを選択する
1. **[Actions]** (アクション)、**[Delete VPC endpoints]** (VPC エンドポイントを削除) の順に選択します。
1. 確認を求められたら、**delete** をクリックしてください。
1. **[削除]** を選択します。
**コマンドラインを使用してゲートウェイエンドポイントを削除するには**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html) (Tools for Windows PowerShell)