AWS IoT Greengrass VPC エンドポイントに関する考慮事項 AWS IoT Greengrass コントロールプレーン操作用インターフェイス VPC エンドポイントの作成 AWS IoT Greengrass 用の VPC エンドポイントポリシーの作成 VPC で AWS IoT Greengrassコアデバイスを運用する

AWS IoT Greengrass とインターフェース VPC エンドポイント (AWS PrivateLink)

インターフェイス VPC エンドポイントを作成することにより、VPC と AWS IoT Greengrass コントロールプレーンの間でプライベート接続を確立できます。このエンドポイントを使用して、のコンポーネント、デプロイ、AWS IoT Greengrass サービスのコアデバイスを管理できます。インターフェイスエンドポイントは、AWS PrivateLink を利用しており、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれを使用せずに、AWS IoT Greengrass API にプライベートアクセスを可能にする技術です。VPC のインスタンスは、パブリック IP アドレスがなくても AWS IoT Greengrass API と通信できます。VPC と AWS IoT Greengrass 間のトラフィックは、Amazon ネットワークを離れません。

各インターフェイスエンドポイントは、サブネット内の 1 つ、または複数の Elastic Network Interface によって表されます。

詳細については、Amazon VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink) 」を参照してください。

トピック

AWS IoT Greengrass VPC エンドポイントに関する考慮事項
AWS IoT Greengrass コントロールプレーン操作用インターフェイス VPC エンドポイントの作成
AWS IoT Greengrass 用の VPC エンドポイントポリシーの作成
VPC で AWS IoT Greengrassコアデバイスを運用する

AWS IoT Greengrass VPC エンドポイントに関する考慮事項

AWS IoT Greengrass のインターフェイス VPC エンドポイントをセットアップする前、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントのプロパティと制限」を確認してください。さらに、次の点について注意してください:

AWS IoT Greengrass は、VPC から実行されるすべてのコントロールプレーン API アクションの呼び出しをサポートしています。コントロールプレーンには、 CreateDeploymentやなどのオペレーションが含まれますListEffectiveDeployments。コントロールプレーンには、データプレーンオペレーションである ResolveComponentCandidatesや Discover などのオペレーションは含まれません。
AWS IoT Greengrass 用 VPC エンドポイントは、現在 AWS 中国リージョンでサポートされていません。

AWS IoT Greengrass コントロールプレーン操作用インターフェイス VPC エンドポイントの作成

Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、AWS IoT Greengrass コントロールプレーン用 VPC エンドポイントを作成できます。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」を参照してください。

AWS IoT Greengrass 用の VPC エンドポイントは、以下のサービス名を使用して作成します。

com.amazonaws.region.greengrass

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (AWS IoT Greengrass など) を使用して、greengrass.us-east-1.amazonaws.com への API リクエストを実行できます。プライベート DNS はデフォルトで有効になっています。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

AWS IoT Greengrass 用の VPC エンドポイントポリシーの作成

VPC エンドポイントに、AWS IoT Greengrass コントロールプレーン操作へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

アクションを実行できるプリンシパル。
プリンシパルが実行できるアクション。
プリンシパルがアクションを実行できるリソース。

詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

例: AWS IoT Greengrass アクション用の VPC エンドポイントポリシー

以下は、AWS IoT Greengrass 用のエンドポイントポリシーの例です。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている AWS IoT Greengrass アクションへのアクセス権を付与します。


{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

VPC で AWS IoT Greengrassコアデバイスを運用する

Greengrass コアデバイスを運用し、パブリックインターネットアクセスのない VPC でデプロイを実行できます。少なくとも、対応する DNS エイリアスを使用して次の VPC エンドポイントを設定する必要があります。VPC エンドポイントを作成して使用する方法の詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントの作成」を参照してください。

注記

DNS レコードを自動的に作成する VPC 機能は、 AWS IoT dataおよび AWS IoT 認証情報に対して無効になっています。これらのエンドポイントを接続するには、プライベート DNS レコードを手動で作成する必要があります。詳細については、「インターフェイスエンドポイントのプライベート DNS」を参照してください。AWS IoT Core VPC の制限の詳細については、「VPC エンドポイントの制限」を参照してください。

前提条件

手動プロビジョニング手順を使用して AWS IoT Greengrass Core ソフトウェアをインストールする必要があります。詳細については、「手動リソースプロビジョニングによる AWS IoT Greengrass Core ソフトウェアのインストール」を参照してください。

制限事項

VPC での Greengrass コアデバイスの運用は、中国リージョンおよびではサポートされていませんAWS GovCloud (US) Regions。
AWS IoT data およびAWS IoT認証情報プロバイダー VPC エンドポイントの制限の詳細については、「制限事項」を参照してください。

VPC で動作するように Greengrass コアデバイスをセットアップする

AWS アカウントに AWS IoT エンドポイントを入手して、後で使用するために保存してください。デバイスはこれらのエンドポイントを使用して AWS IoT に接続します。以下の操作を実行します。
1. AWS アカウントの AWS IoT データエンドポイントを取得します。
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
  要求が正常に処理された場合、レスポンスは次の例のようになります。
```
{
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
2. AWS IoT の AWS アカウント認証情報エンドポイントを取得します。
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
  要求が正常に処理された場合、レスポンスは次の例のようになります。
```
{
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
AWS IoT data および AWS IoT認証情報エンドポイント用の Amazon VPC インターフェイスを作成します。
1. 左側のメニューの仮想プライベートクラウドで、VPC エンドポイントコンソールに移動し、エンドポイント を選択し、エンドポイントを作成します。
2. 「エンドポイントの作成」ページで、次の情報を指定します。
  - [Service category] (サービスカテゴリ) には [AWS のサービスs] を選択します。
  - [Service Name] (サービス名) については、キーワード iot を入力して検索します。表示されるiotサービスのリストで、エンドポイントを選択します。
    
    AWS IoT Core データプレーン用の VPC エンドポイントを作成する場合は、リージョンAWS IoT Coreのデータプレーン API エンドポイントを選択します。エンドポイントは com.amazonaws.region.iot.data の形式です。
    
    AWS IoT Core 認証情報プロバイダーの VPC エンドポイントを作成する場合は、リージョンのAWS IoT Core認証情報プロバイダーエンドポイントを選択します。エンドポイントは com.amazonaws.region.iot.credentials の形式です。
    
    注記
    中国リージョンAWS IoT Coreのデータプレーンのサービス名は、の形式になりますcn.com.amazonaws.region.iot.data。AWS IoT Core 認証情報プロバイダーの VPC エンドポイントの作成は、中国リージョンではサポートされていません。
  - [VPC] と [Subnets] (サブネット) には、エンドポイントを作成する VPC と、エンドポイントネットワークを作成するアベイラビリティーゾーン (AZ) を選択します。
  - [Enable DNS name] (DNS 名を有効にする) で、[Enable for this endpoint] (このエンドポイントで有効にする) が選択されていないことを確認してください。AWS IoT Core データプレーンもAWS IoT Core認証情報プロバイダーも、まだプライベート DNS 名をサポートしていません。
  - [Security group] (セキュリティグループ) には、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
  - オプションで、タグを追加または削除できます。タグとは名前と値のペアで、エンドポイントに関連付けるために使用します。
3. [Create Endpoint] (エンドポイントの作成) をクリックして、VPC エンドポイントを作成します。
AWS PrivateLink エンドポイントを作成すると、エンドポイントの詳細タブに DNS 名のリストが表示されます。このセクションで作成したこれらの DNS 名のいずれかを使用して、プライベートホストゾーンを設定できます。
Amazon S3 エンドポイントを作成します。詳細については、「Amazon S3 の VPC エンドポイントを作成する」を参照してください。
AWSが提供する Greengrass コンポーネントを使用している場合は、追加のエンドポイントと設定が必要になる場合があります。エンドポイントの要件を表示するには、 AWSが提供するコンポーネントのリストからコンポーネントを選択し、「要件」セクションを参照してください。例えば、ログマネージャーコンポーネントの要件では、このコンポーネントがエンドポイントへのアウトバウンドリクエストを実行できることが推奨されていますlogs.region.amazonaws.com。

独自のコンポーネントを使用している場合は、依存関係を確認し、追加のテストを実行して、追加のエンドポイントが必要かどうかを判断する必要がある場合があります。
Greengrass nucleus 設定では、をに設定greengrassDataPlaneEndpointする必要がありますiotdata。詳細については、Greengrass nucleus 設定を参照してください。
us-east-1 リージョンにいる場合は、Greengrass s3EndpointType nucleus 設定REGIONALで設定パラメータをに設定します。この機能は、Greengrass nucleus バージョン 2.11.3 以降で使用できます。

例: コンポーネント設定


{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

次の表は、対応するカスタムプライベート DNS エイリアスに関する情報です。

サービス	VPC エンドポイントサービス名	VPC エンドポイントタイプ	カスタムプライベート DNS エイリアス	メモ
AWS IoT data	`com.amazonaws.region.iot.data`	インターフェイス	`prefix-ats.iot.region.amazonaws.com`	プライベート DNS レコードは、アカウントのAWS IoT dataエンドポイントと一致する必要があります`aws iot describe–endpoint ––endpoint–type iot:Data-ATS`。
AWS IoT 認証情報	`com.amazonaws.region.iot.credentials`	インターフェイス	`prefix.credentials.iot.region.amazonaws.com`	プライベート DNS レコードは、アカウントのAWS IoT認証情報エンドポイントと一致する必要があります`aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`。
Amazon S3	`com.amazonaws.region.s3`	インターフェイス		DNS レコードが自動的に作成されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

コードの整合性

セキュリティベストプラクティス