AWS PrivateLink に関するよくある質問

AWS PrivateLink により、ユーザーはすべてのネットワークトラフィックを AWS ネットワーク内に留めておくと同時に、AWS でホストされるサービスやリソースに可用性とスケーラビリティに優れた方法でアクセスできるようになります。ユーザーは、パブリック IP を使用したり、トラフィックをインターネット経由で送信したりすることなく、Amazon 仮想プライベートクラウド (VPC) またはオンプレミスからサービスやリソースにプライベートにアクセスできます。サービスの所有者はその Network Load Balancer を PrivateLink サービスに登録し、他の AWS の顧客にサービスを提供できます。リソースの所有者は、Network Load Balancer を使用せずにリソースを直接共有できます。

ユーザーは、サービスとリソースにアクセスするための VPC エンドポイント (PrivateLink を使用) を作成する必要があります。これらの VPC エンドポイントは、プライベート IP が割り当てられた Elastic Network Interface として VPC に表示されます。このようなエンドポイントが作成されると、これらの IP を送信先とするトラフィックは、いずれも対応するサービスまたはリソースにプライベートにルーティングされます。

サービス所有者は、サービスのフロントに Network Load Balancer を設定することでサービスを AWS PrivateLink にオンボードして、Network Load Balancer に登録する PrivateLink サービスを作成できます。お客様の顧客はその VPC 内でエンドポイントを確立して、お客様が顧客のアカウントと IAM ロールを許可リストに入れるとお客様のサービスに接続できるようになります。

VPC エンドポイントにより、インターネットゲートウェイ、NAT デバイス、VPN、またはファイアウォールプロキシを必要とすることなく、AWS でホストされるサービスやリソースに VPC から プライベートに接続することが可能になります。VPC エンドポイントは水平方向にスケーラブルで可用性の高い仮想デバイスで、VPC 内のインスタンスとサービスやリソース間の通信を可能にします。Amazon VPC は、ゲートウェイエンドポイント、インターフェイスエンドポイント、Gateway Load Balancer エンドポイント、リソースエンドポイント、およびサービスネットワークエンドポイントの 5 つの異なる VPC エンドポイントタイプを提供します。ゲートウェイエンドポイントを除くすべての VPC エンドポイントタイプは PrivateLink を利用しています。

インターフェイスエンドポイントは、PrivateLink を利用したサービスへのプライベート接続を提供します。これらのサービスは、AWS サービス、お客様独自のサービス、または Software as a Service (SaaS) ソリューションにすることができます。インターフェイスエンドポイントは、AWS Direct Connect と VPN 経由の接続もサポートしています。

ゲートウェイエンドポイントは Amazon S3 や Amazon DynamoDB などの AWS サービスでのみ使用でき、PrivateLink は有効になっていません。これらのエンドポイントでは、選択したルートテーブルにエントリが追加され、トラフィックが Amazon のプライベートネットワークを経由してサポート対象のサービスにルーティングされます。

Gateway Load Balancer エンドポイントは、Gateway Load Balancer がフロントにあるアプライアンスへのプライベート接続を提供します。

リソースエンドポイントは、負荷分散を必要としないデータベース、クラスター、ドメイン名ターゲット、IP アドレスなどの VPC リソースへのプライベート接続を提供します。AWS Direct Connect と VPN 経由の接続をサポートします。

サービスネットワークエンドポイントを使用すると、Amazon VPC Lattice サービスネットワーク内のサービスやリソースにプライベートに接続できます。単一の VPC エンドポイントから複数のサービスとリソースにアクセスできます。また、AWS Direct Connect と VPN 経由の接続もサポートしています。VPC エンドポイントの料金については、AWS PrivateLink 料金表を参照してください。

VPC エンドポイントは特定のサービスやリソースへの安全なアクセスを提供するもので、エンドユーザーには次のような複数の利点があります。

• VPC エンドポイントを使用すると、他のゲートウェイを使用せずに特定のサービスやリソースにアクセスでき、インターネットゲートウェイ、NAT ゲートウェイ、VPN 接続、または VPC ピアリング接続を使用する必要がなくなるため、リソースがインターネットやその他の外部ネットワークに公開されるリスクが軽減されます。
• トラフィックは Amazon のプライベートネットワーク内に留まるため、トラフィックがインターネットに公開されるリスクが軽減されます。
• VPC エンドポイントを介して Amazon サービスにアクセスする場合に、VPC エンドポイントを介したアクセスを特定のユーザー、アクション、リソースに制限することができます。
• Amazon サービスが提供するリソースへのアクセスを、特定の VPC から発生する、または特定の VPC エンドポイントを経由して発生するトラフィックに制限できます。

はい。お客様施設内のアプリケーションは、AWS Direct Connect を使って Amazon VPC 内の VPC エンドポイントに接続できます。この VPC エンドポイントにより、トラフィックは AWS PrivateLink を使用したサービスに自動的に転送されます。

VPC コンソールまたは AWS CLI/SDK を使用して利用可能なサービスおよびリソースを検索できます。その後、VPC エンドポイントを介してサービス、リソース、またはサービスネットワークにアクセスできます。

リソースは、Amazon VPC Lattice でリソース設定を定義することによって作成できます。リソース所有者は、リソースのリストが含まれるリソース設定を作成することで、リソースを PrivateLink にオンボーディングできます。AWS Resource Access Manager (RAM) を使用してこのリソース設定を顧客のアカウントと共有すると、お客様は VPC 内にエンドポイントを確立してリソースに接続できるようになります。

リソースエンドポイントは、負荷分散を必要としないデータベース、クラスター、ドメイン名ターゲット、IP アドレスなどの VPC リソースへのプライベート接続を提供します。AWS Direct Connect と VPN 経由の接続をサポートします。

サービスネットワークエンドポイントを使用すると、VPC Lattice サービスネットワーク内のサービスやリソースにプライベートに接続できます。単一の VPC エンドポイントから複数のサービスとリソースにアクセスできます。また、AWS Direct Connect と VPN 経由の接続もサポートしています。VPC エンドポイントの料金については、 VPC 料金表を参照してください。

PrivateLinkの価格表には、料金と請求に関する情報が記載されています。VPC でインターフェイスまたは Gateway Load Balancer の VPC エンドポイントを作成する場合は、各アベイラビリティーゾーンに VPC エンドポイントがプロビジョニングされている時間に対する料金が請求されます。VPC でリソース VPC エンドポイントを作成する場合は、VPC エンドポイントがプロビジョニングされているアベイラビリティーゾーンの数にかかわらず、1 時間ごとの料金が請求されます。データ処理料金は、トラフィックの送信元か送信先かにかかわらず、VPC エンドポイントで処理されたデータ量 (ギガバイト単位) に対して請求されます。1 時間未満の VPC エンドポイント使用時間は、1 時間分として請求されます。VPC エンドポイントへの課金を止めたい場合は、AWS マネジメントコンソール、コマンドラインインターフェイス (CLI)、API を使用して VPC エンドポイントを削除します。

別途記載がない限り、表示される料金には付加価値税、売上税など、一切の税金等および関税は含まれません。日本の居住者であるお客様が AWS サービスをご利用になった場合には、料金とあわせて別途消費税をご請求させていただきます。

詳細を確認する

VPC ピアリングでは VPC 接続は 125 個に制限されていますが、AWS PrivateLink は実質的に無制限に拡張できます。各 VPC エンドポイントは、VPC 内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを特定のサービス、リソース、またはサービスネットワークに接続します。接続する必要のある VPC、リソース、サービスの数に応じて、必要な数のエンドポイントを追加できます。

A: VPC ごとに最大 100 個の VPC エンドポイントを作成できます。これ以上必要な場合は、お問い合わせください。お客様と一緒に解決を図ります。

VPC に VPC エンドポイントを作成し、使用するサービス、リソース、またはサービスネットワークを指定できます。VPC エンドポイントには、VPC 内のローカル IP アドレスに解決される DNS 名があります。これらの DNS 名にトラフィックをルーティングすると、トラフィックは VPC エンドポイントを経由して、複数のアカウントにわたるサービスまたはリソースにルーティングされます。

各 VPC エンドポイントは、デフォルトで、アベイラビリティーゾーンごとに 10 Gbps の連続帯域幅をサポートできます。その後、最大 100 Gbps まで容量が自動的に追加されます。エンドポイントのスケーリングは、エンドポイントへのトラフィックが影響を受けないように完全に管理されています。

ゲートウェイ、インターフェイス、Gateway Load Balancer、およびリソースの VPC エンドポイントは、単一のエンドポイントサービスまたはリソースに接続します。サービスネットワーク VPC エンドポイントは、複数のリソースや VPC Lattice サービスに関連付けることができるサービスネットワークに接続します。

AWS CLI/SDK の最新バージョンを使用している場合は、コードを更新する必要はありません。CLI/SDK は VPC エンドポイントを自動的に検出し、デフォルトで使用します。古いバージョンの CLI/SDK を使用している場合は、CLI/SDK のエンドポイントパラメータとして DNS 名を指定する必要があります。エンドポイントを指定する必要がある場合は、EC2 メタデータサービスにクエリを実行して DNS 名を調べることができます。

いいえ。今後のアップデートでサポートされる可能性はありますが、現時点ではプライベートエンドポイント名のみがサポートされています。

はい。Direct Connect 経由で VPC エンドポイントにアクセスできます。VPC エンドポイントの DNS レコードはパブリックに解決可能ですが、関連付けられた VPC 内のプライベート IP アドレスが返されます。

AWS PrivateLink のセキュリティは、パス、ポリシー、通信モードという 3 つの要素に依存しています。

VPC エンドポイントとサービス間のパスは AWS 内にとどまり、インターネットを経由しません。そのため、インターネットからの侵害の被害に遭うことはありません。

AWS サービスで VPC エンドポイントを使用している場合は、VPC エンドポイントへ向かうリクエストへのアクセスを制限するエンドポイントポリシーを作成することもできます。

PrivateLink は、転送中のデータをデフォルトで暗号化しません。常にサービスコンシューマーがサービスを開始し (一方通行のサービス)、サービスプロバイダーは許可リストに登録された顧客にのみサービスを提供します。

はい。セキュリティグループを VPC エンドポイントに関連付けることができます。

はい。AWS マネジメントコンソールを使って VPC エンドポイントや AWS PrivateLink 接続などの Amazon VPC オブジェクトを管理できます。

はい。AWS サポートの詳細については、ここをクリックしてください。

Amazon CloudWatch メトリックスは、「インターフェイス」タイプと「ゲートウェイロードバランサー」タイプの VPC エンドポイントで使用できます。