翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon DocumentDB API とインターフェイス VPC エンドポイント (AWS PrivateLink) について
インターフェイス VPC エンドポイントを作成することで、VPC と Amazon DocumentDB API エンドポイント間にプライベート接続を確立できます。インターフェイスエンドポイントは を使用しますAWS PrivateLink
Amazon DocumentDB クラスターはインターフェイス VPC エンドポイント接続を必要としませんが、 AWS PrivateLink を使用することで、インターネットゲートウェイや NAT デバイス、VPN 接続、あるいは AWS Direct Connect 接続なしに Amazon DocumentDB API オペレーションにプライベートにアクセスできます。VPC 内の Amazon DocumentDB インスタンスは、データベースインスタンス やデータベースクラスターの起動、変更、または終了のための Amazon DocumentDB API エンドポイントとの通信に、パブリック IP アドレスを必要としません。また、Amazon DocumentDB インスタンスは、利用可能な Amazon DocumentDB API オペレーション全ての使用にパブリック IP アドレスを必要としません。VPC と Amazon DocumentDB 間のトラフィックは、すべて Amazon ネットワーク内で行われます。
各インターフェイスエンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。詳細については、「Amazon EC2 ユーザーガイド」の「Elastic Network Interface」を参照してください。
VPC エンドポイントの詳細については、「Amazon Virtual Private Cloud (AWS PrivateLink) ユーザーガイド」の「インターフェイス VPC エンドポイントを使用した AWS のサービス へのアクセス」を参照してください。Amazon DocumentDB オペレーションの詳細については、「Amazon DocumentDB クラスター、インスタンス、およびリソース管理 API リファレンス」を参照してください。
トピック
VPC エンドポイントに関する考慮事項
Amazon DocumentDB API エンドポイント向けにインターフェイス VPC エンドポイントを設定する前に、「Amazon Virtual Private Cloud (AWS PrivateLink) ユーザーガイド」の「インターフェイスエンドポイントの前提条件」を確認してください。
Amazon DocumentDB リソースの管理に関連するすべての Amazon DocumentDB API オペレーションは、AWS PrivateLink を使用して VPC から利用することができます。
VPC エンドポイントポリシーは Amazon DocumentDB API エンドポイントでサポートされます。デフォルトでは、エンドポイント経由で Amazon DocumentDB API オペレーションへのフルアクセスが提供されます。詳細については、「Amazon Virtual Private Cloud (AWS PrivateLink) ユーザーガイド」の「エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する」を参照してください。
利用可能なリージョン
現在、Amazon DocumentDB API は、次の AWS リージョン で VPC エンドポイントをサポートしています。
米国東部(オハイオ)
米国東部 (バージニア北部)
米国西部 (オレゴン)
アフリカ (ケープタウン)
アジアパシフィック (香港)
アジアパシフィック (ムンバイ)
アジアパシフィック (ハイデラバード)
アジアパシフィック (大阪)
アジアパシフィック (ソウル)
アジアパシフィック (シンガポール)
アジアパシフィック (シドニー)
アジアパシフィック (東京)
カナダ (中部)
中国 (北京)
中国 (寧夏)
欧州 (フランクフルト)
欧州 (アイルランド)
欧州 (ロンドン)
欧州 (パリ)
欧州 (スペイン)
欧州 (ミラノ)
中東 (アラブ首長国連邦)
南米 (サンパウロ)
AWS GovCloud (米国東部)
AWS GovCloud (米国西部)
Amazon DocumentDB API 用のインターフェイス VPC エンドポイントの作成
Amazon DocumentDB API 用の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) で作成できます。詳細については、「 Amazon Virtual Private Cloud (AWS PrivateLink) ユーザーガイド」の「インターフェイス VPC エンドポイントを使用した AWS のサービス へのアクセス」を参照してください。
サービス名 com.amazonaws.region.rds を使用して、Amazon DocumentDB API 向け VPC エンドポイントを作成します。
中国の AWS リージョン を除き、エンドポイントでプライベート DNS を有効にすると、AWS リージョン のデフォルト DNS 名 (rds.us-east-1.amazonaws.com など) を使用して、VPC エンドポイントから Amazon DocumentDB に API リクエストを行うことができます。中国 (北京) と中国 (寧夏) の AWS リージョン では、それぞれ rds-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn もしくは rds-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn を使用して、VPC エンドポイント経由で API リクエストを行うことができます。
詳細については、「 Amazon Virtual Private Cloud (AWS PrivateLink) ユーザーガイド」の「インターフェイス VPC エンドポイントを使用した AWS のサービス へのアクセス」を参照してください。
Amazon DocumentDB API 向け VPC エンドポイントポリシーの作成
Amazon DocumentDB API へのアクセスを制御するエンドポイントポリシーを VPC エンドポイントにアタッチできます。このポリシーでは、以下の情報を指定します。
アクションを実行できるプリンシパル。
実行可能なアクション。
このアクションを実行できるリソース。
詳細については、「Amazon Virtual Private Cloud (AWS PrivateLink) ユーザーガイド」の「エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する」を参照してください。
例: Amazon DocumentDB API アクション向け VPC エンドポイントポリシー
Amazon DocumentDB API 向けエンドポイントポリシーの例を次に示します。このポリシーをエンドポイントにアタッチすると、すべてのリソースのすべてのプリンシパルに対して、登録されている Amazon DocumentDB API アクションへのアクセスを許可します。
{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "docdb:CreateDBInstance", "docdb:ModifyDBInstance", "docdb:CreateDBSnapshot" ], "Resource":"*" } ] }
例: 指定した AWS アカウントからのすべてのアクセスを拒否する VPC エンドポイントポリシー
いっぽうこちらの VPC エンドポイントポリシーは、AWS アカウント 123456789012 に対して、このエンドポイントを経由したすべてのリソースへのアクセスを拒否します。このポリシーは、他のアカウントからのすべてのアクションを許可します。
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "*", "Effect": "Deny", "Resource": "*", "Principal": { "AWS": [ "123456789012" ] } } ] }
