翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 経由でサービスネットワークにアクセスする AWS PrivateLink
サービスネットワークには、サービスネットワーク VPC エンドポイント (サービスネットワークエンドポイント) を使用して VPC からプライベートに接続できます。サービスネットワークエンドポイントは、サービスネットワークに関連付けられているリソースやサービスへのプライベートかつセキュアなアクセスを可能にします。この方法を使用することで、単一の VPC エンドポイント経由で複数のリソースやサービスにプライベートにアクセスできます。
サービスネットワークは、リソース設定と VPC Lattice サービスの論理的なコレクションです。サービスネットワークエンドポイントを使用することで、サービスネットワークを VPC に接続し、VPC またはオンプレミスからこれらのリソースやサービスにプライベートにアクセスできます。サービスネットワークエンドポイントでは、1 つのサービスネットワークに接続できます。VPC から複数のサービスネットワークに接続する場合は、それぞれが異なるサービスネットワークをポイントする複数のサービスネットワークエンドポイントを作成できます。
サービスネットワークは AWS Resource Access Manager () と統合されていますAWS RAM。サービスネットワークは、 AWS RAM経由で別のアカウントと共有できます。サービスネットワークを別の AWS アカウントと共有する場合、そのアカウントはサービスネットワークエンドポイントを作成してサービスネットワークに接続できます。サービスネットワークは、 AWS RAMの[リソース共有](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html)を使用して共有できます。
AWS RAM コンソールを使用して、追加されたリソース共有、アクセスできる共有サービスネットワーク、およびリソースを共有した AWS アカウントを表示します。詳細については、「*AWS RAM User Guide*」の「[Resources shared with you](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)」を参照してください。
**料金**
サービスネットワークに関連付けられたリソース設定の料金が 1 時間単位で請求されます。また、サービスネットワーク VPC エンドポイント経由でリソースにアクセスするときは、処理されるデータの料金が GB 単位で請求されます。サービスネットワーク VPC エンドポイント自体に 1 時間単位の料金は請求されません。詳細については、[Amazon VPC Lattice 料金表](https://aws.amazon.com/vpc/lattice/pricing/)を参照してください。
**Topics**
+ [概要](#sn-network-overview)
+ [DNS ホスト名](#sn-endpoint-dns)
+ [DNS 解決](#sn-endpoint-dns-resolution)
+ [プライベート DNS](#sn-endpoint-private-dns)
+ [サブネットとアベイラビリティーゾーン](#sn-endpoint-subnets-zones)
+ [IP アドレスのタイプ](#sn-endpoint-ip-address-type)
+ [サービスネットワークエンドポイントを作成する](access-with-service-network-endpoint.md)
+ [サービスネットワークエンドポイントを管理する](manage-sn-endpoint.md)
## 概要
独自のサービスネットワークを作成するか、別のアカウントから共有されたサービスネットワークを使用することができます。いずれの場合も、VPC からサービスネットワークに接続するためのサービスネットワークエンドポイントを作成できます。サービスネットワークを作成してリソース設定を関連付ける方法の詳細については、[「Amazon VPC Lattice ユーザーガイド](https://docs.aws.amazon.com/vpc-lattice/latest/ug/)」を参照してください。
次の図は、VPC 内のサービスネットワークエンドポイントがサービスネットワークにアクセスする方法を示しています。
ネットワーク接続を開始できるのは、サービスネットワーク内のリソースとサービスに対するサービスネットワークエンドポイントが設定された VPC からのみです。リソースとサービスが存在する VPC がエンドポイント VPC へのネットワーク接続を開始することはできません。
## DNS ホスト名
では AWS PrivateLink、プライベートエンドポイントを使用してサービスネットワークにトラフィックを送信します。サービスネットワーク VPC エンドポイントを作成すると、リソースとサービスそれぞれにリージョン DNS 名 (デフォルト DNS 名と呼ばれます) が作成されます。これらは、VPC やオンプレミスからリソースとサービスと通信するために使用できます。エンドポイントに関連付けられた IP アドレスは変更できます。サービスネットワークへの接続には、エンドポイント IP ではなく DNS を使用することをお勧めします。
サービスネットワーク内にあるリソースのデフォルト DNS 名には次の構文があります。
```
{{endpointId}}-{{snraId}}.{{rcfgId}}.{{randomHash}}.vpc-lattice-rsc.{{region}}.on.aws
```
サービスネットワーク内にある Lattice サービスのデフォルト DNS 名には次の構文があります。
```
{{endpointId}}-{{snsaId}}.{{randomHash}}.vpc-lattice-svcs.{{region}}.on.aws
```
を使用している場合は AWS マネジメントコンソール、**関連付け**タブで DNS 名を確認できます。を使用している場合は AWS CLI、[describe-vpc-endpoint-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-associations.html) コマンドを使用します。
[プライベート DNS](privatelink-access-aws-services.md#interface-endpoint-private-dns) を有効にできるのは、サービスネットワークに Amazon RDS データベースサービスに対する ARN タイプのリソース設定が存在する場合のみです。プライベート DNS を使用すると、 AWS サービスネットワーク VPC エンドポイントを介したプライベート接続を活用しながら、サービスによってリソースにプロビジョニングされた DNS 名を使用してリソースへのリクエストを続行できます。詳細については、「[DNS 解決](privatelink-access-resources.md#resource-endpoint-dns-resolution)」を参照してください。
## DNS 解決
サービスネットワークエンドポイントを作成すると、サービスネットワークに関連付けられているリソース設定と Lattice サービスそれぞれに DNS 名が作成されます。これらの DNS レコードはパブリックです。したがって、これらの DNS 名はパブリックに解決可能です。ただし、VPC 外からの DNS リクエストは、引き続きサービスネットワークエンドポイントのネットワークインターフェイスのプライベート IP アドレスを返します。サービスネットワークエンドポイントがある VPN にアクセスできるならば、これらの DNS 名を使用して、VPN または Direct Connect 経由でオンプレミスからリソースやサービスにアクセスできます。
## プライベート DNS
サービスネットワーク VPC エンドポイントでプライベート DNS を有効にし、VPC で [DNS ホスト名と DNS 解決](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)の両方が有効になっている場合、カスタム DNS 名を持つリソース設定に対して非表示 AWSのマネージドプライベートホストゾーンが作成されます。ホストゾーンにはリソースのデフォルト DNS 名のレコードセットが含まれており、デフォルト DNS 名を VPC 内にあるサービスネットワークエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決します。
Amazon は、「[Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。オンプレミスネットワークから VPC エンドポイントにアクセスしたい場合は、デフォルト DNS 名か、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 [AWS Transit GatewayAWS PrivateLink と の統合 Amazon Route 53 Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/)」を参照してください。
## サブネットとアベイラビリティーゾーン
アベイラビリティーゾーンごとに 1 つのサブネットを使用して VPC エンドポイントを設定できます。そうすると、サブネット内にある VPC エンドポイントのエンドポイントネットワークインターフェイスが作成されます。VPC エンドポイントの [IP アドレスタイプ](privatelink-access-resources.md#resource-endpoint-ip-address-type)が IPv4 である場合は、そのサブネットから各 Elastic Network Interface に /28 の倍数で IP アドレスが割り当てられます。各サブネットで割り当てられた IP アドレスの数はリソース設定の数によって異なり、必要に応じて IP が /28 ブロックで追加されます。本番環境では、高可用性とレジリエンシーを確保するために、VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定し、連続する IP を利用可能にすることをお勧めします。
## IP アドレスのタイプ
サービスネットワークエンドポイントは、IPv4、IPv6、またはデュアルスタックアドレスをサポートできます。IPv6 をサポートするエンドポイントは、AAAA レコードを使用して DNS クエリに応答できます。以下の説明にあるように、サービスネットワークエンドポイントの IP アドレスのタイプには、リソースエンドポイントのサブネットとの互換性がある必要があります。
+ **[IPv4]** — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。
+ **[IPv6]** — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。
+ **[Dualstack]** — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲がある場合にのみサポートされます。
サービスネットワーク VPC エンドポイントが IPv4 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv4 アドレスになります。サービスネットワーク VPC エンドポイントが IPv6 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv6 アドレスになります。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、`denyAllIgwTraffic` が有効になっていることに注意してください。