Amazon FSx for Lustre とインターフェイス VPC エンドポイント (AWS PrivateLink) - FSx for Lustre
Amazon FSx インターフェイス VPC エンドポイントに関する考慮事項Amazon FSx API 用のインターフェイス VPC エンドポイントの作成Amazon FSx 用の VPC エンドポイントポリシーの作成

Amazon FSx for Lustre とインターフェイス VPC エンドポイント (AWS PrivateLink)

インターフェイス VPC エンドポイントを使用するように Amazon FSx を設定することで、VPC のセキュリティ体制を強化できます。インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれも必要とせずに Amazon FSx API にプライベートにアクセスできるテクノロジー、AWS PrivateLink を利用しています。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon FSx API と通信できます。VPC と Amazon FSx 間のトラフィックは、AWS ネットワークを離れません。

各インターフェイス VPC エンドポイントは、サブネット内の 1 つ以上の Elastic Network Interface によって表されます。ネットワークインターフェイスは、Amazon FSx API へのトラフィックのエントリポイントとなるプライベート IP アドレスを提供します。

Amazon FSx のインターフェイス VPC エンドポイントを設定する前に、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントのプロパティと制限」を確認してください。

VPC から任意の Amazon FSx API オペレーションを呼び出すことができます。例えば、VPC 内で CreateFileSystem API を呼び出すことで、FSx for Lustre ファイルシステムを作成することができます。Amazon FSx API の詳細なリストについては、「Amazon FSx API Reference」(Amazon FSx API リファレンス) の「Actions」(アクション) を参照してください。

他の VPC には、インターフェイス VPC エンドポイントを使用して、VPC ピアリングによって接続できます。VPC ピアリングは、2 つの VPC 間のネットワーク接続です。自分が所有者である 2 つの VPC 間や、他の AWS アカウント アカウント内の VPC との間で、VPC ピアリング接続を確立できます。VPC は 2 つの異なる AWS リージョン の間でも使用できます。

ピア接続された VPC 間のトラフィックは AWS ネットワーク上に留まり、パブリックインターネットを経由しません。VPC がピア接続されると、双方の VPC にある Amazon Elastic Compute Cloud (Amazon EC2) インスタンスは、いずれかの VPC で作成されたインターフェイス VPC エンドポイントを介して Amazon FSx API にアクセスできます。

Amazon FSx API 用のインターフェイス VPC エンドポイントの作成

Amazon FSx API 用の VPC エンドポイントは、Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) で作成できます。詳細については、「Amazon VPC ユーザーガイド」の「Creating an interface VPC endpoint」(インターフェイス VPC エンドポイントの作成) を参照してください。

Amazon FSx エンドポイントの完全なリストについては、「Amazon Web Services 全般のリファレンス」の「Amazon FSx エンドポイントとクォータ」を参照してください。

Amazon FSx のインターフェイス VPC エンドポイントを作成するには、次のいずれかを使用します。

  • com.amazonaws.region.fsx – Amazon FSx API オペレーションのエンドポイントを作成します。

  • com.amazonaws.region.fsx-fips連邦情報処理規格 (FIPS) 140-2 に準拠した Amazon FSx API のエンドポイントを作成します。

オプションとしてプライベート DNS を使用するには、VPC の enableDnsHostnames および enableDnsSupport 属性を設定する必要があります。詳細については、「Amazon VPC ユーザーガイド」の「VPC の DNS 属性の表示と更新」を参照してください。

中国の AWS リージョン を除き、エンドポイントでプライベート DNS を有効にすると、AWS リージョン のデフォルト DNS 名 (fsx.us-east-1.amazonaws.com など) を使用して、VPC エンドポイントで Amazon FSx に API リクエストを行うことができます。中国 (北京) および 中国 (寧夏) AWS リージョン の場合、それぞれ fsx-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn および fsx-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn を使用して VPC エンドポイントで API リクエストを行うことができます。

詳細については、「Amazon VPC ユーザーガイド」の「Accessing a service through an interface VPC endpoint」 (インターフェイス VPC エンドポイントを介したサービスへのアクセス) を参照してください。

Amazon FSx 用の VPC エンドポイントポリシーの作成

Amazon FSx API へのアクセスをさらに制御するために VPC エンドポイントに AWS Identity and Access Management (IAM) ポリシーをアタッチすることも可能です。本ポリシーでは、以下を規定します。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。