経由で VPC リソースにアクセスする AWS PrivateLink - Amazon Virtual Private Cloud
概要DNS ホスト名DNS 解決プライベート DNSサブネットとアベイラビリティーゾーンIP アドレスのタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

経由で VPC リソースにアクセスする AWS PrivateLink

リソース VPC エンドポイント (リソースエンドポイント) を使用することで、別の VPC 内にある VPC リソースにプライベートにアクセスできます。リソースエンドポイントを使用することで、データベース、Amazon EC2 インスタンス、アプリケーションエンドポイント、ドメイン名ターゲット、または別の VPC 内やオンプレミス環境内のプライベートサブネットにある IP アドレスなどの VPC リソースへのプライベートかつセキュアなアクセスが可能になります。リソースエンドポイントがない場合、VPC にインターネットゲートウェイを追加するか、 AWS PrivateLink インターフェイスエンドポイントと Network Load Balancer を使用してリソースにアクセスする必要があります。リソースエンドポイントにはロードバランサーが必要ないため、VPC リソースに直接アクセスできます。VPC リソースは、リソース設定によって表されます。リソース設定はリソースゲートウェイに関連付けられています。

料金

リソースエンドポイントを使用してリソースにアクセスすると、リソース VPC エンドポイントがプロビジョニングされている時間の料金が 1 時間ごとに請求されます。また、リソースへのアクセス時に処理されるデータの 料金も GB 単位で請求されます。詳細については、AWS PrivateLink 料金表を参照してください。リソース設定とリソースゲートウェイを使用してリソースへのアクセスを有効化する場合は、リソースゲートウェイが処理するデータの料金が GB 単位で請求されます。詳細については、Amazon VPC Lattice 料金表を参照してください。

内容

概要

アカウント内のリソース、または別のアカウントから共有されたリソースにアクセスできます。リソースにアクセスするには、リソース VPC エンドポイントを作成します。このエンドポイントは、ネットワークインターフェイスを使用して VPC 内のサブネットとリソース間の接続を確立します。リソース宛てのトラフィックは、DNS を使用してリソースエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決されます。トラフィックはその後、VPC エンドポイントとリソース間の接続を使用して、リソースゲートウェイ経由でリソースに送信されます。

次の図は、別のアカウントによって所有され、共有されているリソースにアクセスするコンシューマーアカウントのリソースエンドポイントを示しています AWS RAM。

コンシューマー VPC 内のリソースエンドポイントが、別の VPC 内にあるリソースにアクセスしています。

考慮事項

  • TCP トラフィックがサポートされています。UDP トラフィックはサポートされていません。

  • ネットワーク接続は、リソースが含まれる VPC からではなく、リソースエンドポイントが含まれる VPC から開始される必要があります。リソースの VPC は、エンドポイント VPC へのネットワーク接続を開始できません。

  • サポートされる ARN ベースのリソースは Amazon RDS リソースのみです。

  • VPC エンドポイントとリソースゲートウェイのアベイラビリティーゾーンが少なくとも 1 つ重複している必要があります。

DNS ホスト名

では AWS PrivateLink、プライベートエンドポイントを使用して リソースにトラフィックを送信します。リソース VPC エンドポイントを作成すると、VPC およびオンプレミスからリソースと通信するために使用できるリージョン DNS 名 (デフォルト DNS 名と呼ばれます) が作成されます。リソースへの接続には、エンドポイント IP ではなく DNS を使用することをお勧めします。リソース VPC エンドポイントのデフォルト DNS 名には次の構文があります。

endpoint_id.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

ARN を使用する一部のリソース設定向けにリソース VPC エンドポイントを作成するときは、プライベート DNS を有効にできます。プライベート DNS を使用すると、リソース VPC エンドポイントを介したプライベート接続を活用しながら、 AWS サービスによってリソースにプロビジョニングされた DNS 名を使用してリソースへのリクエストを続行できます。詳細については、「DNS 解決」を参照してください。

以下の describe-vpc-endpoint-associations コマンドは、リソースエンドポイントの DNS エントリを表示します。

aws ec2 describe-vpc-endpoint-associations --vpc-endpoint-id vpce-123456789abcdefgh --query 'VpcEndpointAssociations[*].*'

以下は、プライベート DNS 名が有効になっている Amazon RDS データベース用のインターフェイスエンドポイントの出力例です。最初の DNS 名はデフォルト DNS 名です。2 番目の DNS 名は非表示のプライベートホストゾーンからのもので、パブリックエンドポイントに対するリクエストをエンドポイントネットワークインターフェイスのプライベート IP アドレスに解決します。

[
    [
        "vpce-rsc-asc-abcd1234abcd",
        "vpce-123456789abcdefgh",
        "Accessible",
        {
            "DnsName": "vpce-1234567890abcdefg-snra-1234567890abcdefg.rcfg-abcdefgh123456789.4232ccc.vpc-lattice-rsc.us-east-1.on.aws",
            "HostedZoneId": "ABCDEFGH123456789000"
        },
        {
            "DnsName": "database-5-test.cluster-ro-example.us-east-1.rds.amazonaws.com",
            "HostedZoneId": "A1B2CD3E4F5G6H8I91234"
        },
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890abcdefg",
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890xyz"
    ]
]

DNS 解決

リソース VPC エンドポイント用に作成される DNS レコードはパブリックです。したがって、これらの DNS 名はパブリックに解決可能です。ただし、VPC 外からの DNS リクエストは、引き続きリソースエンドポイントのネットワークインターフェイスのプライベート IP アドレスを返します。リソースエンドポイントがある VPN にアクセスできるならば、これらの DNS 名を使用して、VPN または Direct Connect 経由でオンプレミスからリソースにアクセスできます。

プライベート DNS

ARNsを有効にし、VPC で DNS ホスト名と DNS 解決の両方が有効になっている場合、カスタム DNS 名を使用してリソース設定の非表示 AWSのマネージドプライベートホストゾーンが作成されます。ホストゾーンにはリソースのデフォルト DNS 名のレコードセットが含まれており、デフォルト DNS 名を VPC 内にあるリソースエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決します。

Amazon は、「Route 53 Resolver」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。オンプレミスネットワークから VPC エンドポイントにアクセスしたい場合は、カスタム DNS 名か、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 AWS Transit GatewayAWS PrivateLink と の統合 Amazon Route 53 Resolver」を参照してください。

サブネットとアベイラビリティーゾーン

アベイラビリティーゾーンごとに 1 つのサブネットを使用して VPC エンドポイントを設定できます。サブネット内の VPC エンドポイント用にエンドポイントネットワークインターフェイスを作成します。VPC エンドポイントの IP アドレスタイプに基づいて、サブネットから各エンドポイントネットワークインターフェイスに IP アドレスを割り当てます。本番環境では、高可用性とレジリエンシーを確保するために、VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定することをお勧めします。

IP アドレスのタイプ

リソースエンドポイントは、IPv4、IPv6、またはデュアルスタックアドレスをサポートできます。IPv6 をサポートするエンドポイントは、AAAA レコードを使用して DNS クエリに応答できます。以下の説明にあるように、リソースエンドポイントの IP アドレスのタイプには、リソースエンドポイントのサブネットとの互換性がある必要があります。

  • [IPv4] — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。

  • [IPv6] — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。

  • [Dualstack] — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択されたすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲がある場合にのみサポートされます。

リソース VPC エンドポイントが IPv4 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv4 アドレスになります。リソース VPC エンドポイントが IPv6 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv6 アドレスになります。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、denyAllIgwTraffic が有効になっていることに注意してください。