翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# WorkSpaces アプリケーションインターフェイス VPC エンドポイント
Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。Amazon Virtual Private Cloud を使用してAWSリソースをホストする場合、VPC と WorkSpaces アプリケーションの間にプライベート接続を確立できます。この接続を使用して、WorkSpaces アプリケーションがパブリックインターネットを経由せずに VPC 上のリソースと通信できるようにします。
インターフェイスエンドポイントは、プライベート IP アドレスを使用して指定した VPC 内でトラフィックをストリーミングできるテクノロジーである AWSPrivateLink を利用しています。Direct Connectまたは AWS Virtual Private Networkトンネルで VPC を使用する場合、ストリーミングトラフィックをネットワーク内に保持できます。
以下のトピックでは、WorkSpaces アプリケーションインターフェイスエンドポイントについて説明します。
**Topics**
+ [チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング](creating-streaming-from-interface-vpc-endpoints.md)
+ [インターフェイス VPC エンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする](access-api-cli-through-interface-vpc-endpoint.md)
# チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング
Amazon Web Services アカウントのインターフェイス VPC エンドポイントを使用して、Amazon VPC と WorkSpaces アプリケーション間のすべてのネットワークトラフィックを Amazon ネットワークに制限できます。このエンドポイントを作成したら、それを使用するように WorkSpaces Applications スタックまたは Image Builder を設定します。
**前提条件**
WorkSpaces アプリケーションのインターフェイス VPC エンドポイントを設定する前に、次の前提条件に注意してください。
+ インターネット接続は、ユーザーを認証し、WorkSpaces アプリケーションが機能するために必要なウェブアセットを配信するために必要です。ストリーミングインターフェイスエンドポイントは、VPC 内のストリーミングトラフィックを維持します。ストリーミングトラフィックには、ピクセル、USB、ユーザー入力、オーディオ、クリップボード、ファイルのアップロードとダウンロード、プリンターのトラフィックが含まれます。このトラフィックを許可するには、「[許可されたドメイン](allowed-domains.md)」に示されたドメインを許可する必要があります。VPC エンドポイントを作成したら、WorkSpaces Applications ユーザー認証ドメインを許可する必要があります。ただし、ストリーミングゲートウェイでは、アクセスを .streaming.appstream..vpce.amazonaws.com のみに制限できます。\$1.amazonappstream.com への許可リスト登録は必要ありません。VPC エンドポイントの完全修飾ドメイン名は、その依存関係を置き換えます。
+ ユーザーのデバイスが接続されているネットワークは、インターフェイスエンドポイントにトラフィックをルーティングできる必要があります。
+ インターフェイスエンドポイントに関連付けられているセキュリティグループは、ユーザーが接続する IP アドレス範囲からポート 443(TCP) とポート 1400~1499 (TCP) へのインバウンドアクセスを許可する必要があります。
+ サブネットのネットワークアクセスコントロールリストでは、一時ネットワークポート 1024~65535 (TCP) から、ユーザーが接続する IP アドレス範囲へのアウトバウンドトラフィックを許可する必要があります。
+ API アクションを実行するためのアクセス許可AWS アカウントを提供する IAM `ec2:DescribeVpcEndpoints` アクセス許可ポリシーが にある必要があります。デフォルトでは、このアクセス許可は AmazonAppStreamServiceAccess ロールにアタッチされている IAM ポリシーで定義されます。必要なアクセス許可がある場合、 AWSリージョンで WorkSpaces アプリケーションサービスの使用を開始すると、このサービスロールは WorkSpaces アプリケーションによって自動的に作成され、必要な IAM ポリシーがアタッチされます。詳細については、「[Amazon WorkSpaces アプリケーションの Identity and Access Management](controlling-access.md)」を参照してください。
**インターフェイスエンドポイントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**エンドポイント**]、[**エンドポイントを作成**] の順に選択します。
1. **[Create Endpoint]** (エンドポイントの作成) を選択します。
1. **サービスカテゴリ**で、**AWSサービス**が選択されていることを確認します。
1. **[Service Name]** (サービス名)には **com.amazonaws.******.appstream.streaming** を選択します。
1. 以下の情報を指定します。終了したら、[**Create Endpoint**] を選択します。
+ [**VPC**] で、インターフェイスエンドポイントを作成する VPC を選択します。WorkSpaces Applications リソースを使用する VPC とは異なる VPC を選択できます。
+ [**サブネット**] で、エンドポイントネットワークインターフェイスを作成する先のサブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのアベイラビリティーゾーンで サブネットを選択することをお勧めします。
+ **IP アドレスタイプ**で、IPV6 または IPV4 を選択します。
+ [**Enable Private DNS Name**] チェックボックスが選択されていることを確認します。
**注記**
ユーザーがネットワークプロキシを使用してストリーミングインスタンスにアクセスする場合は、プライベートエンドポイントに関連付けられているドメインと DNS 名のプロキシキャッシュを無効にします。VPC エンドポイントの DNS 名は、プロキシを介して許可する必要があります。
+ [**Security group**] で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
**注記**
セキュリティグループは、ユーザーが接続する IP アドレス範囲からポートへのインバウンドアクセスを提供する必要があります。
インターフェイスエンドポイントの作成中、コンソールのエンドポイントのステータスは、[**Pending**] と表示されます。エンドポイントが作成されると、ステータスは [**Available**] に変わります。
ストリーミングセッション用に作成したインターフェイスエンドポイントを使用するようにスタックを更新するには、次のステップを実行します。
**新しいインターフェイスエンドポイントを使用するようスタックを更新するには**
1. [https://console.aws.amazon.com/appstream2/home](https://console.aws.amazon.com/appstream2/home) で WorkSpaces アプリケーションコンソールを開きます。
使用するインターフェイスエンドポイントと同じAWSリージョンでコンソールを開いてください。
1. ナビゲーションペインで [**Stacks**] を選択し、希望するスタックを選択します。
1. [**VPC Endpoints (VPC エンドポイント)**] タブを選択し、[**Edit (編集)**] を選択します。
1. [**Edit VPC Endpoint (VPC エンドポイントの編集)**] ダイアログボックスの [**Streaming Endpoint (ストリーミングエンドポイント)**] で、ストリーミングトラフィックを介するエンドポイントを選択します。
1. [**更新**] を選択します。
新しいストリーミングセッションのトラフィックは、このエンドポイントを介してルーティングされます。ただし、現在のストリーミングセッションのトラフィックは、引き続き以前に指定したエンドポイントを介してルーティングされます。
**注記**
インターフェイスエンドポイントが指定されている場合、ユーザーはインターネットエンドポイントを使用してストリーミングできません。
# インターフェイス VPC エンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする
Amazon Virtual Private Cloud を使用してAWSリソースをホストする場合は、インターネット経由で接続する代わりに、仮想プライベートクラウド (VPC) の[インターフェイス VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) (インターフェイスエンドポイント) を介して WorkSpaces Applications API オペレーションまたはコマンドラインインターフェイス (CLI) コマンドに直接接続できます。インターフェイスエンドポイントは、プライベート IP アドレスを使用して指定した VPC 内でトラフィックをストリーミングできるテクノロジーである AWSPrivateLink を利用しています。インターフェイスエンドポイントを使用する場合、VPC と WorkSpaces アプリケーション間の通信はAWS、ネットワーク内で完全かつ安全に行われます。
**注記**
このトピックでは、インターフェイスエンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする方法について説明します。WorkSpaces アプリケーションインターフェイスエンドポイントを作成してストリーミングする方法については、「」を参照してください[チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング](creating-streaming-from-interface-vpc-endpoints.md)。
**前提条件**
インターフェイスエンドポイントを使用するには、次の前提条件を満たす必要があります。
+ インターフェイスエンドポイントに関連付けられているセキュリティグループは、ユーザーが接続する IP アドレス範囲からポート 443(TCP) のインバウンドアクセスを許可する必要があります。
+ サブネットのネットワークアクセスコントロールリストでは、一時ネットワークポート 1024~65535 (TCP) から、ユーザーが接続する IP アドレス範囲へのアウトバウンドトラフィックを許可する必要があります。
**Topics**
+ [WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスするためのインターフェイスエンドポイントを作成する](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [インターフェイスエンドポイントを使用して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする](how-to-access-api-cli-through-interface-vpc-endpoint.md)
# WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスするためのインターフェイスエンドポイントを作成する
インターフェイスエンドポイントを作成するには、次のステップを実行します。
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**エンドポイント**]、[**エンドポイントを作成**] の順に選択します。
1. **[Create Endpoint]** (エンドポイントの作成) を選択します。
1. **サービスカテゴリ**で、**AWSサービス**が選択されていることを確認します。
1. **[Service Name]** (サービス名)には **com.amazonaws.******.appstream.api** を選択します。
1. 以下の情報を指定します。終了したら、[**Create Endpoint**] を選択します。
+ [**VPC**] で、インターフェイスエンドポイントを作成する VPC を選択します。
+ **[サブネット]** は、エンドポイントネットワークインターフェイスを作成する先の、サブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのアベイラビリティーゾーンで サブネットを選択することをお勧めします。
+ オプションで、[**Enable Private DNS Name**] チェックボックスを選択できます。
**注記**
このオプションを選択する場合は、必要に応じて、プライベート DNS をサポートするように VPC および DNS を必ず設定してください。詳細については、*Amazon VPC ユーザーガイド*の [Private DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) を参照してください。
+ **[Security group]** (セキュリティグループ) で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
**注記**
セキュリティグループは、ユーザーが接続する IP アドレス範囲からポートへのインバウンドアクセスを提供する必要があります。
インターフェイスエンドポイントの作成中、コンソールのエンドポイントのステータスは、[**Pending**] と表示されます。エンドポイントが作成されると、ステータスは [**Available**] に変わります。
# インターフェイスエンドポイントを使用して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする
作成したインターフェイス VPC エンドポイントのステータスが **Available** に変更されると、エンドポイントを使用して WorkSpaces Applications API オペレーションと CLI コマンドにアクセスできます。これを実行するには、これらのオペレーションおよびコマンドを使用するときに、インターフェイスエンドポイントの DNS 名がある `endpoint-url` パラメータを指定します。DNS 名はパブリックに解決可能ですが、VPC 内のトラフィックのみを正常にルーティングします。
次の例は、**describe-fleets** CLI コマンドを使用するときにインターフェイスエンドポイントの DNS 名を指定する方法を示しています。
```
aws appstream describe-fleets --endpoint-url .api.appstream..vpce.amazonaws.com
```
次の例は、WorkSpaces Applications Boto3 Python クライアントをインスタンス化するときにインターフェイスエンドポイントの DNS 名を指定する方法を示しています。
```
appstream2client = boto3.client('appstream',region_name='',endpoint_url='.api.appstream..vpce.amazonaws.com'
```
`appstream2client` オブジェクトを使用する後続のコマンドでは、指定したインターフェイスエンドポイントが自動的に使用されます。
インターフェイスエンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。API と CLI がデフォルトで使用する WorkSpaces アプリケーション API DNS ホスト名は、VPC 内で解決されます。プライベート DNS ホスト名の詳細については、*Amazon VPC ユーザーガイド*の [Private DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) を参照してください。