翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS のサービス を介したアクセス AWS PrivateLink
エンドポイント AWS のサービス を使用して にアクセスします。デフォルトのサービスエンドポイントはパブリックインターフェイスであるため、インターネットゲートウェイを VPC に追加して、トラフィックが VPC から AWS のサービスに到達できるようにする必要があります。この設定がネットワークセキュリティ要件と連携しない場合は、 AWS PrivateLink を使用して、インターネットゲートウェイを使用せずに、VPC 内にある AWS のサービス かのように VPC を に接続できます。
VPC エンドポイント AWS PrivateLink を使用して、 と統合 AWS のサービス する にプライベートにアクセスできます。インターネットゲートウェイを使用せずに、アプリケーションスタックのすべてのレイヤーを構築および管理できます。
**料金**
インターフェイス VPC エンドポイントが各アベイラビリティーゾーンでプロビジョニングされる 1 時間ごとに課金されます。また、処理されたデータの GB ごとに課金されます。詳細については、「[AWS PrivateLink 料金](https://aws.amazon.com/privatelink/pricing/)」を参照してください。
**Topics**
+ [概要](#interface-endpoint-overview)
+ [DNS ホスト名](#interface-endpoint-dns-hostnames)
+ [DNS 解決](#interface-endpoint-dns-resolution)
+ [プライベート DNS](#interface-endpoint-private-dns)
+ [サブネットとアベイラビリティーゾーン](#aws-service-subnets-zones)
+ [IP アドレスのタイプ](#aws-service-ip-address-type)
+ [DNS レコード IP タイプ](#aws-services-dns-record-ip-type)
+ [統合するサービス](aws-services-privatelink-support.md)
+ [クロスリージョンが有効 AWS のサービス](aws-services-cross-region-privatelink-support.md)
+ [インターフェイスエンドポイントの作成](create-interface-endpoint.md)
+ [インターフェイスエンドポイントを設定する](interface-endpoints.md)
+ [インターフェイスエンドポイントイベントのアラートを受け取る](manage-notifications-endpoint.md)
+ [インターフェースエンドポイントを削除する](delete-interface-endpoint.md)
+ [ゲートウェイエンドポイント](gateway-endpoints.md)
## 概要
パブリックサービスエンドポイント AWS のサービス を介して にアクセスするか、 AWS のサービス を使用してサポートされている に接続できます AWS PrivateLink。この概要では、これらの方法を比較します。
**パブリックサービスエンドポイント経由でアクセスする**
次の図は、インスタンスがパブリックサービスエンドポイント AWS のサービス を介して にアクセスする方法を示しています。パブリックサブネットのインスタンス AWS のサービス から へのトラフィックは、VPC のインターネットゲートウェイにルーティングされ、次に にルーティングされます AWS のサービス。プライベートサブネットのインスタンスから AWS のサービス へのトラフィックは、NAT ゲートウェイ、VPC のためにインターネットゲートウェイ、 AWS のサービスの順にルーティングされます。このトラフィックはインターネットゲートウェイを通過しますが、 AWS ネットワークから出ることはありません。
![\[へのトラフィックは、インターネットゲートウェイを介して VPC を AWS のサービス 離れますが、 AWS ネットワーク内にとどまります。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/access-with-igw.png)
**経由で接続する AWS PrivateLink**
次の図は、インスタンスが AWS のサービス にアクセスする方法を示しています AWS PrivateLink。まず、インターフェイス VPC エンドポイントを作成します。このエンドポイントは、ネットワークインターフェイス AWS のサービス を使用して、VPC 内のサブネットと 間の接続を確立します。宛てのトラフィック AWS のサービス は、DNS を使用してエンドポイントネットワークインターフェイスのプライベート IP アドレスに解決され、VPC エンドポイントと 間の接続 AWS のサービス を使用して に送信されます AWS のサービス。
![\[サブネットからのトラフィックは、インターフェイス VPC エンドポイントを使用して AWS のサービスに接続します。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/access-with-privatelink.png)
AWS のサービス は自動的に接続リクエストを受け入れます。サービスは、VPC エンドポイントを介してリソースへのリクエストを開始することはできません。
## DNS ホスト名
ほとんどの AWS のサービス は、次の構文を持つパブリックリージョンエンドポイントを提供します。
```
protocol://service_code.region_code.amazonaws.com
```
例えば、us-east-2 にある Amazon CloudWatch のパブリックエンドポイントは次のとおりです。
```
https://monitoring.us-east-2.amazonaws.com
```
では AWS PrivateLink、プライベートエンドポイントを使用して サービスにトラフィックを送信します。インターフェイス VPC エンドポイントを作成すると、VPC AWS のサービス から と通信するために使用できるリージョンおよびゾーンの DNS 名が作成されます。
インターフェイス VPC エンドポイントのリージョンレベルの DNS 名の構文は次のとおりです。
```
endpoint_id.service_id.region.vpce.amazonaws.com
```
ゾーンレベルの DNS 名の構文は次のとおりです。
```
endpoint_id-az_name.service_id.region.vpce.amazonaws.com
```
のインターフェイス VPC エンドポイントを作成するときに AWS のサービス、[プライベート DNS ](#interface-endpoint-private-dns)を有効にできます。プライベート DNS では、インターフェイス VPC エンドポイントを介したプライベート接続を活用しながら、パブリックエンドポイントの DNS 名を使用してサービスへのリクエストを引き続き行うことができます。詳細については、「[DNS 解決](#interface-endpoint-dns-resolution)」を参照してください。
次の [describe-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoints.html) コマンドは、インターフェイスエンドポイントの DNS エントリを表示します。
```
aws ec2 describe-vpc-endpoints --vpc-endpoint-id vpce-099deb00b40f00e22 --query VpcEndpoints[*].DnsEntries
```
プライベート DNS 名が有効になっている Amazon CloudWatch のインターフェイスエンドポイントの出力例を次に示します。最初のエントリは、リージョンレベルのプライベートエンドポイントです。次の 3 つのエントリは、ゾーンレベルのプライベートエンドポイントです。最後のエントリは、隠れたプライベートホストゾーンからのもので、パブリックエンドポイントに対するリクエストを、エンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決します。
```
[
[
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2c.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2a.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "vpce-099deb00b40f00e22-lj2wisx3-us-east-2b.monitoring.us-east-2.vpce.amazonaws.com",
"HostedZoneId": "ZC8PG0KIFKBRI"
},
{
"DnsName": "monitoring.us-east-2.amazonaws.com",
"HostedZoneId": "Z06320943MMOWYG6MAVL9"
}
]
]
```
## DNS 解決
インターフェイス VPC エンドポイント用に作成される DNS レコードはパブリックです。したがって、これらの DNS 名はパブリックに解決可能です。ただし、VPC 外部からの DNS リクエストは引き続きエンドポイントのネットワークインターフェイスのプライベート IP アドレスを返すため、VPC にアクセスできない限り、これらの IP アドレスを使用してエンドポイントサービスにアクセスすることはできません。
## プライベート DNS
インターフェイス VPC エンドポイントのプライベート DNS を有効にし、VPC で [DNS ホスト名と DNS 解決](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)の両方が有効になっている場合、非表示の AWSマネージドプライベートホストゾーンが作成されます。ホストゾーンにはサービスのデフォルトの DNS 名のレコードセットが含まれており、VPC のエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決されます。したがって、パブリックリージョンエンドポイント AWS のサービス を使用して にリクエストを送信する既存のアプリケーションがある場合、それらのアプリケーションに変更を加えることなく、それらのリクエストがエンドポイントネットワークインターフェイスを通過するようになりました。
AWS のサービスの VPC エンドポイントに対してプライベート DNS ホスト名を有効にすることをお勧めします。これにより、 AWS SDK を介して行われたリクエストなど、パブリックサービスエンドポイントを使用するリクエストが VPC エンドポイントに解決されます。
Amazon は、「[Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。オンプレミスネットワークから VPC エンドポイントにアクセスしたい場合は、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 [AWS Transit GatewayAWS PrivateLink と の統合 Amazon Route 53 Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/)」を参照してください。
## サブネットとアベイラビリティーゾーン
アベイラビリティーゾーンごとに 1 つのサブネットを使用して VPC エンドポイントを設定できます。サブネット内の VPC エンドポイント用にエンドポイントネットワークインターフェイスを作成します。VPC エンドポイントの [IP アドレスタイプ](#aws-service-ip-address-type)に基づいて、サブネットから各エンドポイントネットワークインターフェイスに IP アドレスを割り当てます。エンドポイントのネットワークインターフェイスの IP アドレスは、VPC エンドポイントの存続期間中は変更されません。
本番環境では、高い可用性と耐障害性を実現するには、以下をお勧めします。
+ VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定し、これらのアベイラビリティーゾーン AWS のサービス の にアクセスする必要があるリソースを AWS デプロイします。
+ VPC エンドポイントのプライベート DNS 名を設定します。
+ パブリックエンドポイントとも呼ばれるリージョン DNS 名 AWS のサービス を使用して にアクセスします。
次の図は、1 つのアベイラビリティーゾーンにエンドポイントネットワークインターフェイスがある Amazon CloudWatch の VPC エンドポイントを示しています。VPC 内のいずれかのサブネットのリソースがパブリックエンドポイントを使用して Amazon CloudWatch にアクセスすると、エンドポイントネットワークインターフェイスの IP アドレスへのトラフィックが解決されます。これには、他のアベイラビリティーゾーン内のサブネットからのトラフィックが含まれます。ただし、アベイラビリティゾーン 1 に障害が発生すると、アベイラビリティーゾーン 2 のリソースは Amazon CloudWatch にアクセスできなくなります。
![\[1 つのアベイラビリティーゾーンに対して有効な、Amazon CloudWatch のインターフェイス VPC エンドポイント。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/interface-endpoint-single-az.png)
次の図は、2 つのアベイラビリティーゾーンにエンドポイントネットワークインターフェイスがある Amazon CloudWatch の VPC エンドポイントを示しています。VPC のサブネット内のいずれかのリソースがパブリックエンドポイントを使用して Amazon CloudWatch にアクセスする場合、ラウンドロビンアルゴリズムで切り替えながらエンドポイントネットワークインターフェイスを選択します。次に、選択したエンドポイントネットワークインターフェイスの IP アドレスへのトラフィックを解決します。
![\[複数のアベイラビリティーゾーンに対して有効な、Amazon CloudWatch のインターフェイス VPC エンドポイント。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/interface-endpoint-multi-az.png)
ユースケースに適している場合は、同じアベイラビリティーゾーン内のエンドポイントネットワークインターフェイスを使用して、リソースから AWS のサービス にトラフィックを送信できます。そのためには、プライベートゾーンエンドポイントまたはエンドポイントネットワークインターフェイスの IP アドレスを使用します。
![\[プライベートゾーンエンドポイントを使用するトラフィックを伴うインターフェイス VPC エンドポイント。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/images/interface-endpoint-multi-az-zonal.png)
## IP アドレスのタイプ
AWS のサービス は、パブリックエンドポイントを介して IPv6 をサポートしていない場合でも、プライベートエンドポイントを介して IPv6 をサポートできます。IPv6 をサポートするエンドポイントは、AAAA レコードを使用して DNS クエリに応答できます。
**インターフェイスエンドポイント用に IPv6 を有効にするための要件**
+ は、サービスエンドポイントを IPv6 経由で利用可能に AWS のサービス する必要があります。詳細については、「[IPv6 サポートを表示する](aws-services-privatelink-support.md#vpce-ipv6-support)」を参照してください。
+ インターフェイスエンドポイントの IP アドレスのタイプは、次に説明するように、インターフェイスエンドポイントのサブネットと互換性がある必要があります。
+ **[IPv4]** — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。
+ **[IPv6]** — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。
+ **[Dualstack]** — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択されたすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲がある場合にのみサポートされます。
インターフェイス VPC エンドポイントが IPv4 をサポートしている場合、エンドポイントのネットワークインターフェイスは IPv4 アドレスを持ちます。インターフェイス VPC エンドポイントが IPv6 をサポートしている場合、エンドポイントのネットワークインターフェイスは IPv6 アドレスを持ちます。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、`denyAllIgwTraffic` が有効になっていることに注意してください。
## DNS レコード IP タイプ
IP アドレスタイプに応じて、VPC エンドポイントを呼び出すと、 AWS サービスは A レコード、AAAA レコード、または A レコードと AAAA レコードの両方を返すことができます。DNS レコード IP タイプを変更することで、 AWS サービスが返すレコードタイプをカスタマイズできます。以下の表には、サポートされている DNS レコード IP タイプと返されるレコードタイプが記載されています。
| DNS レコード IP タイプ | 返されるレコードタイプ |
| --- | --- |
| IPv4 | A |
| IPv6 | AAAA |
| デュアルスタック | A および AAAA |
デフォルトで、DNS レコードタイプは IP アドレスタイプと同じになります。異なる DNS レコード IP タイプを選択することもできますが、エンドポイントサービスと互換性のある IP アドレスタイプを使用する必要があります。以下の表には、インターフェイスエンドポイントの各 IP アドレスタイプでサポートされている DNS レコード IP タイプが記載されています。
| IP アドレスタイプ | サポートされる DNS レコード IP タイプ |
| --- | --- |
| IPv4 | IPv4 |
| IPv6 | IPv6 |
| デュアルスタック | デュアルスタック\$1、IPv4、IPv6、サービス定義 |
\$1デフォルトの DNS レコード IP タイプを表します。
サービス定義の DNS レコード IP タイプは、呼び出されたサービスエンドポイントに基づいて DNS レコードを返します。サービス定義の DNS レコード IP タイプを使用する場合は、サービスがサービスエンドポイントからのさまざまな呼び出しを処理できることを確認してください。インターフェイスエンドポイントでサポートされている DNS レコードを確認するには、 の VPC エンドポイントの DNS 名を参照するか AWS マネジメントコンソール、[DescribeVpcEndpoints](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpoints.html) を使用します。
ゲートウェイエンドポイントでは、DNS レコード IP タイプの動作が異なります。詳細については、「[ゲートウェイエンドポイントの DNS レコード IP タイプ](gateway-endpoints.md#gateway-endpoint-dns-record-ip-type)」を参照してください。