インターフェイスエンドポイント AWS Batch を使用したアクセス - AWS Batch
考慮事項インターフェイスエンドポイントの作成エンドポイントポリシーを作成する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インターフェイスエンドポイント AWS Batch を使用したアクセス

を使用して AWS PrivateLink 、VPC と の間にプライベート接続を作成できます AWS Batch。インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用せずに、VPC 内にあるかのように AWS Batch にアクセスできます。VPC のインスタンスは、パブリック IP アドレスがなくても AWS Batchにアクセスできます。

このプライベート接続を確立するには、 AWS PrivateLinkを利用したインターフェイスエンドポイントを作成します。インターフェイスエンドポイントに対して有効にする各サブネットにエンドポイントネットワークインターフェイスを作成します。これらは、 AWS Batch宛てのトラフィックのエントリポイントとして機能するリクエスタ管理型ネットワークインターフェイスです。

詳細については、 ガイドのインターフェイス VPC エンドポイント ()を参照してください。

に関する考慮事項 AWS Batch

のインターフェイスエンドポイントを設定する前に AWS Batch、「 AWS PrivateLink ガイド」の「インターフェイスエンドポイントのプロパティと制限」を参照してください。

AWS Batch は、インターフェイスエンドポイントを介したすべての API アクションの呼び出しをサポートします。

のインターフェイス VPC エンドポイントを設定する前に AWS Batch、次の考慮事項に注意してください。

  • Fargate リソース起動タイプを使用するジョブでは、Amazon ECS のインターフェイス VPC エンドポイントは必要ありませんが、以下のポイントで説明する AWS Batch、Amazon ECR、Secrets Manager、または Amazon CloudWatch Logs のインターフェイス VPC エンドポイントが必要になる場合があります。

    • ジョブを実行するには、Amazon ECS 用に、インターフェイス VPC エンドポイントを作成する必要があります。詳細については、Amazon Elastic Container Service デベロッパーガイドのインターフェイス VPC エンドポイント (AWS PrivateLink PrivateLink)を参照してください。

    • Amazon ECR からプライベートイメージをプルできるようにするには、Amazon ECR 用のインターフェイス VPC エンドポイントを 作成する必要があります。詳細については、Amazon Elastic Container Registry ユーザーガイドインターフェイス VPC エンドポイント (AWS PrivateLink)を参照してください。

    • タスクで Secrets Manager から機密データをプルできるようにするには、Secrets Manager 用のインターフェイス VPC エンドポイントを作成する必要があります。詳細については、AWS Secrets Manager ユーザーガイドVPC EndpointでSecrets Managerを使用するを参照してください。

    • VPC にインターネットゲートウェイがなく、ジョブがawslogsログドライバーを使用してログ情報を CloudWatch ログに送信する場合は、ログのインターフェイス VPC CloudWatch エンドポイントを作成する必要があります。詳細については、「Amazon CloudWatch Logs ユーザーガイド」の「インターフェイス VPC エンドポイントでのログの使用」を参照してください。 CloudWatch

  • EC2 起動タイプを使用するタスクでは、起動されたコンテナインスタンスが Amazon ECS コンテナエージェントのバージョン 1.25.1 以降を実行する必要があります。詳細については、Amazon Elastic Container Service デベロッパーガイドのAmazon ECS コンテナエージェントバージョンを参照してください。

  • 現在、VPC エンドポイントはクロスリージョンリクエストをサポートしていません。 AWS Batchに対して API コールを発行するリージョンと同じリージョンにエンドポイントを作成してください。​

  • VPC エンドポイントでは、Amazon Route 53 を介して Amazon 提供の DNS のみがサポートされています。独自の DNS を使用したい場合は、条件付き DNS 転送を使用できます。詳細については、Amazon VPC ユーザーガイドDHCP Options Setsを参照してください。

  • VPCエンドポイントにアタッチされたセキュリティグループでは、VPCのプライベートサブネットから、ポート 443 で着信接続を許可する必要があります。

  • AWS Batch は、次の で VPC インターフェイスエンドポイントをサポートしていません AWS リージョン。

    • アジアパシフィック (大阪) (ap-northeast-3)

    • アジアパシフィック (ジャカルタ) (ap-southeast-3)

のインターフェイスエンドポイントを作成する AWS Batch

Amazon VPC コンソールまたは AWS Command Line Interface () AWS Batch を使用して、 用のインターフェイスエンドポイントを作成できますAWS CLI。詳細については、「AWS PrivateLink ガイド」の「インターフェイスエンドポイントを作成」を参照してください。

次のサービス名 AWS Batch を使用して、 用のインターフェイスエンドポイントを作成します。

com.amazonaws.region.batch

例:

com.amazonaws.us-east-2.batch

aws-cn パーティションでは形式が異なります。

cn.com.amazonaws.region.batch

例:

cn.com.amazonaws.cn-northwest-1.batch

インターフェイスエンドポイントのプライベート DNS を有効にすると、デフォルトのリージョン DNS 名 AWS Batch を使用して に API リクエストを実行できます。例えば batch.us-east-1.amazonaws.com です。

詳細については、AWS PrivateLink ガイドのインターフェイスエンドポイントを介したサービスへのアクセスを参照してください。

インターフェイスエンドポイントのエンドポイントポリシーを作成する

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイント AWS Batch を介した へのフルアクセスが許可されます。VPC から AWS Batch API への許可されたアクセスをコントロールするには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。

エンドポイントポリシーは、以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、AWS PrivateLink ガイドControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。

例: AWS Batch アクションの VPC エンドポイントポリシー

以下は、カスタムエンドポイントポリシーの例です。このポリシーをインターフェイスエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、リストされている AWS Batch アクションへのアクセスが許可されます。

{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "batch:SubmitJob",
            "batch:ListJobs",
            "batch:DescribeJobs"
         ],
         "Resource":"*"
      }
   ]
}