# インターフェイス VPC エンドポイント
<a name="reference_interface_vpc_endpoints"></a>

AWS リソースをホストするために Amazon Virtual Private Cloud (Amazon VPC) を使用する場合は、VPC と AWS Identity and Access Management (IAM) または AWS Security Token Service (AWS STS) の間にプライベート接続を確立できます。この接続を使用して、IAM または AWS STS がパブリックインターネットを経由せずに VPC 内のリソースとやり取りできるよにすることが可能です。

Amazon VPC は、ユーザー定義の仮想ネットワークで AWS リソースを起動するために使用できる AWS のサービスです。VPC を使用すると、IP アドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどのネットワーク設定を制御できます。VPC を IAM または AWS STS に接続するには、各サービスのインターフェイス VPC エンドポイントを定義します。このエンドポイントは、インターネットゲートウェイ、ネットワークアドレス変換 (NAT) インスタンス、または VPN 接続を必要とすることなく、IAM または AWS STS に対するスケーラブルで信頼性に優れた接続を提供します。詳細については、「Amazon VPC ユーザーガイド」の「[Amazon VPC とは](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Introduction.html)」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink を利用しています。これは、Elastic Network Interface とプライベート IP アドレスを使用して AWS のサービス間のプライベート通信を可能にする AWS のテクノロジーです。詳細については、「[AWS のサービス向けの AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)」を参照してください。

以下の情報は Amazon VPC のユーザーを対象としています。詳細については、「Amazon VPC ユーザーガイド」の「[Amazon VPC の使用開始](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html)」を参照してください。

**Topics**
+ [VPC エンドポイントの可用性](#reference_vpc_endpoint_availability)
+ [IAM 用の VPC エンドポイントを作成する](reference_iam_vpc_endpoint_create.md)
+ [AWS STS の VPC エンドポイントを作成する](reference_sts_vpc_endpoint_create.md)

## VPC エンドポイントの可用性
<a name="reference_vpc_endpoint_availability"></a>

**重要**  
IAM のインターフェイス VPC エンドポイントは、[IAM コントロールプレーン](disaster-recovery-resiliency.md)が存在するリージョンでのみ作成できます。お使いの VPC が IAM コントロールプレーンのリージョンとは異なるリージョンにある場合は、AWS Transit Gateway を使用して、別のリージョンからの IAM インターフェイス VPC エンドポイントへのアクセスを許可する必要があります。詳細については、「[IAM 用の VPC エンドポイントを作成する](reference_iam_vpc_endpoint_create.md)」を参照してください。

現在、IAM は次のリージョン内の VPC エンドポイントをサポートしています。
+ 米国東部 (バージニア北部)
+ 中国 (北京)
+ AWS GovCloud (米国西部)

現在、AWS STS は、次のリージョンで VPC エンドポイントをサポートしています。
+ 米国東部 (バージニア北部)
+ 米国東部 (オハイオ)
+ 米国西部 (北カリフォルニア)
+ 米国西部 (オレゴン)
+ アフリカ (ケープタウン)
+ アジアパシフィック (香港)
+ アジアパシフィック (ハイデラバード)
+ アジアパシフィック (ジャカルタ)
+ アジアパシフィック (メルボルン)
+ アジアパシフィック (ムンバイ)
+ アジアパシフィック (大阪)
+ アジアパシフィック (ソウル)
+ アジアパシフィック (シンガポール)
+ アジアパシフィック (シドニー)
+ アジアパシフィック (東京)
+ カナダ (中部)
+ カナダ西部 (カルガリー)
+ 中国 (北京)
+ 中国 (寧夏)
+ 欧州 (フランクフルト)
+ 欧州 (アイルランド)
+ 欧州 (ロンドン)
+ 欧州 (ミラノ)
+ 欧州 (パリ)
+ 欧州 (スペイン)
+ 欧州 (ストックホルム)
+ 欧州 (チューリッヒ)
+ イスラエル (テルアビブ)
+ 中東 (バーレーン)
+ 中東 (アラブ首長国連邦)
+ 南米 (サンパウロ)
+ AWS GovCloud (米国東部)
+ AWSGovCloud(米国西部)

# IAM 用の VPC エンドポイントを作成する
<a name="reference_iam_vpc_endpoint_create"></a>

VPC との IAM の使用を開始するには、IAM 用のインターフェイス VPC エンドポイントを作成します。詳細については、「Amazon VPC ユーザーガイド」の「[インターフェイス VPC エンドポイントを使用して AWS のサービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

IAM のインターフェイス VPC エンドポイントは、[IAM コントロールプレーン](disaster-recovery-resiliency.md)が存在するリージョンでのみ作成できます。商用 AWS リージョンでは、米国東部 (バージニア北部) (us-east-1) リージョンに IAM コントロールプレーンが設置されています。IAM の AWS PrivateLink インターフェイス VPC エンドポイントサービス名は `com.amazonaws.iam` です。IAM 用の VPC エンドポイントをサポートする AWS リージョンのリストについては、「[VPC エンドポイントの可用性](reference_interface_vpc_endpoints.md#reference_vpc_endpoint_availability)」を参照してください。

お使いの VPC が IAM コントロールプレーンのリージョンとは異なるリージョンにある場合は、AWS Transit Gateway を使用して、別のリージョンからの IAM インターフェイス VPC エンドポイントへのアクセスを許可する必要があります。

**AWS Transit Gateway を使用して別のリージョン内の VPC から IAM インターフェイス VPC エンドポイントにアクセスする**

1. トランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用して、仮想プライベートクラウド (VPC) を相互接続します。リージョンごとにトランジットゲートウェイが必要です。詳細については、「AWS Transit Gateway ガイド」の「[トランジットゲートウェイを作成する](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)」を参照してください。

1. トランジットゲートウェイ VPC アタッチメントを作成して、各 VPC をトランジットゲートウェイに接続します。詳細については、「AWS Transit Gateway ガイド」の「[VPC への Transit Gateway アタッチメントを作成する](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#create-vpc-attachment)」を参照してください。

1. ピア接続された VPC 間のトラフィックをルーティングするためのトランジットゲートウェイ VPC ピアリングアタッチメントを作成します。詳細については、「AWS Transit Gateway ガイド」の[「ピアリングアタッチメントを作成する](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-peering.html#tgw-peering-create)」を参照してください。

**注記**  
VPC ピアリング接続でもピア接続された VPC 間のトラフィックをルーティングできますが、この方法は多数の VPC を使用する場合にうまくスケールしません。VPC ピアリングの代わりに AWS Transit Gateway ピアリングアタッチメントを使用することが推奨されます。これは、スケーラブルな中央ハブ経由で VPC とオンプレミスネットワークの管理を改善します。VPC ピアリング接続の詳細については、「Amazon VPC ピアリングガイド」の「[VPC ピアリング接続を使用する](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)」を参照してください。

# AWS STS の VPC エンドポイントを作成する
<a name="reference_sts_vpc_endpoint_create"></a>

VPC で AWS STS の使用を開始するには、AWS STS のインターフェイス VPC エンドポイントを作成します。詳細については、「Amazon VPC ユーザーガイド」の「[インターフェイス VPC エンドポイントを使用して AWS のサービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

VPC エンドポイントを作成した後は、一致するリージョンのエンドポイントを使用して AWS STS リクエストを送信する必要があります。AWS STS では、`setRegion` メソッドと `setEndpoint` メソッドの両方を使用してリージョンのエンドポイントを呼び出すことを推奨しています。`setRegion` メソッドは、アジアパシフィック (香港) など、手動で有効になっているリージョンに単独で使用できます。この場合、呼び出しは STS リージョン別エンドポイントに送信されます。手動でリージョンを有効にする方法については、「AWS 全般のリファレンス」の「[AWS リージョンの管理](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)」を参照してください。デフォルトで有効になっているリージョンに `setRegion` メソッドを単独で使用する場合、呼び出しは `[https://sts.amazonaws.com](https://sts.amazonaws.com)` のグローバルエンドポイントに送信されます。

リージョンのエンドポイントを使用すると、AWS STS は、パブリックエンドポイントまたはプライベートインターフェイス VPC エンドポイントのうち使用中のいずれかを使って、他の AWS のサービスを呼び出します。たとえば、AWS STS のインターフェイス VPC エンドポイントを作成し、VPC にあるリソースの一時的な認証情報を AWS STS からリクエスト済みであるとします。その場合、これらの認証情報は、デフォルトではそのインターフェイス VPC エンドポイントを経由して流れ始めます。AWS STS を使用してリージョンのリクエストを作成する方法の詳細については、「[AWS リージョン で AWS STS を管理する](id_credentials_temp_enable-regions.md)」を参照してください。