AWS Transit Gateway 計測ポリシーエントリを作成する - Amazon VPC
コンソールを使用して計測ポリシーエントリを作成するを使用して計測ポリシーエントリを作成する AWS CLI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transit Gateway 計測ポリシーエントリを作成する

デフォルトでは、すべてのフローはソースアタッチメント所有者に計測されます。異なるアカウントへの特定のフローを計測するには、トラフィックフローのプロパティに基づいて課金されるアカウントを定義する個別のポリシーエントリを作成します。

計測ポリシーエントリは、トラフィックがトランジットゲートウェイを通過するときにルール番号に基づいて順番に評価される条件付きルールとして機能します。各エントリは「if-then」ステートメントとして機能します。トラフィックが指定された条件 (ソースアタッチメントタイプ、送信先 CIDR ブロック、プロトコルなど) に一致する場合は、指定されたアカウントに課金されます。システムは、最も低いルール番号から最も高いルール番号までのエントリを評価し、最初に一致するエントリによって、そのトラフィックフローの請求アカウントが決まります。

エントリは、アタッチメントタイプ (VPC、VPN、Direct Connect Gateway)、特定のアタッチメント IDs、送信元と送信先の CIDR ブロック、プロトコルタイプ、ポート範囲など、幅広い一致基準をサポートします。1 つのエントリ内に複数の条件を組み合わせて、正確なターゲティングルールを作成できます。たとえば、VPC アタッチメントからのすべての HTTPS トラフィック (ポート 443) を特定の送信先 CIDR 範囲に一致させ、それらのフローをセキュリティチームのアカウントに請求するエントリを作成できます。特定のトラフィックフローに一致するエントリがない場合、親計測ポリシーで指定されたデフォルトの計測アカウントが課金され、すべてのトラフィックが適切に請求されます。エントリの作成が有効になるまでに 2 請求時間かかります。

重要

  • ルール番号を慎重に計画する - 将来の挿入を可能にするためにギャップ (10、20、30 など) を残す

  • より制限の厳しいルールを追加する前に、まずより具体的な条件でエントリをテストする

  • 特定の一致条件を使用して、意図しない請求を回避する

コンソールを使用して計測ポリシーエントリを作成する

計測ポリシーは、トランジットゲートウェイのデフォルトのコスト配分動作とグローバル設定を定義します。

コンソールを使用して計測ポリシーエントリを作成するには

  1. Amazon VPC コンソールの https://console.aws.amazon.com/vpc/ を開いてください。

  2. ナビゲーションペインで、計測ポリシーを選択します。

  3. 計測ポリシー ID リンクを選択して詳細を表示します。

  4. 計測ポリシーエントリタブを選択します。

  5. 計測ポリシーの作成エントリを選択します。

  6. ポリシールール番号 - 評価順序を決定する一意の数値 (1~32,766) である必要があります。数値が低いほど優先度が高くなります。

  7. 従量制アカウント - 一致するトラフィックフローに対して課金される次のいずれかのアカウントタイプを選択します。

    1. ソース添付ファイル所有者

    2. 送信先添付ファイル所有者

    3. トランジットゲートウェイアタッチメント所有者

  8. (オプション) ルール条件を選択する - これらのオプション条件は、特定のトラフィックに一致する条件を定義します。

    • ソースアタッチメントタイプまたは ID - アタッチメントタイプ (VPC、VPN、Direct Connect Gateway、ピアリング) または ID でフィルタリングします。

    • 送信先アタッチメントタイプまたは ID - 送信先アタッチメントタイプまたは ID でフィルタリングする

    • ソース CIDR ブロック - 特定の IP 範囲からのトラフィックを一致させる

    • 送信先 CIDR ブロック - トラフィックを特定の IP 範囲に一致させる

    • ソースポート範囲 - 特定のソースポートを一致

    • 送信先ポート範囲 - 特定の送信先ポートに一致

    • プロトコル - ルールのプロトコルでフィルタリングする (1、6、17 など)

  9. 計測ポリシーエントリの作成を選択して設定を保存します。

を使用して計測ポリシーエントリを作成する AWS CLI

ポリシーエントリは、トラフィックの特性に基づいてコスト配分の特定のルールを定義します。ルールは、ルール番号の順に評価されます。

必須パラメータ:

  • --transit-gateway-metering-policy-id - エントリを追加する計測ポリシーの ID

  • --policy-rule-number - 評価順序を決定する一意の数値 (1~32,766)

  • --metered-account - 支払者タイプ (source-attachment-owner/ destination-attachment-owner/transit-gateway-owner)

任意指定のパラメータ:

特定のトラフィックに一致する基準を定義する以下のオプションパラメータ。

  • --source-transit-gateway-attachment-id - ソーストランジットゲートウェイアタッチメントの ID。

  • --source-transit-gateway-attachment-type - ソーストランジットゲートウェイアタッチメントのタイプ。

  • --source-cidr-block - ルールのソース CIDR ブロック。

  • --source-port-range - ルールのソースポート範囲。

  • --destination-transit-gateway-attachment-id - 送信先トランジットゲートウェイアタッチメントの ID。

  • --destination-transit-gateway-attachment-type - 送信先トランジットゲートウェイアタッチメントのタイプ。

  • --destination-cidr-block - ルールの送信先 CIDR ブロック。

  • --destination-port-range - ルールの送信先ポート範囲。

  • --protocol - ルールのプロトコル番号

を使用して計測ポリシーエントリを作成するには AWS CLI

  1. create-transit-gateway-metering-policy-entry コマンドを使用して、VPC トラフィックを特定の計測アカウントにルーティングする新しいポリシーエントリを作成します。

    aws ec2 create-transit-gateway-metering-policy-entry \
    --transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
    --policy-rule-number 100 \
    --destination-transit-gateway-attachment-type vpc \
    --metered-account destination-attachment-owner

    このコマンドは、VPC アタッチメント宛てのトラフィックと一致するルール番号 100 のポリシーエントリを作成し、それらのフローの送信先アタッチメント所有者に課金します。

  2. このコマンドは、エントリが正常に作成されると、次の出力を返します。

    {
    "TransitGatewayMeteringPolicyEntry": {
        "MeteredAccount": "destination-attachment-owner",
        "MeteringPolicyRule": {
            "DestinationTransitGatewayAttachmentType": "vpc"
        },
        "PolicyRuleNumber": 100,
        "State": "available",
        "UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
    }
}

    レスポンスは、トランジットゲートウェイインフラストラクチャ全体でアクティブ化されている間に、エントリが「使用可能」状態で作成されたことを確認します。