AWS IoT Greengrass VPC エンドポイントに関する考慮事項 AWS IoT Greengrass コントロールプレーン操作用インターフェイス VPC エンドポイントの作成 AWS IoT Greengrass 用の VPC エンドポイントポリシーの作成 VPC で AWS IoT Greengrass コアデバイスを運用する

AWS IoT Greengrass とインターフェース VPC エンドポイント (AWS PrivateLink)

インターフェイス VPC エンドポイントを作成することにより、VPC と AWS IoT Greengrass コントロールプレーンの間でプライベート接続を確立できます。このエンドポイントを使用して、のコンポーネント、デプロイ、AWS IoT Greengrass サービスのコアデバイスを管理できます。インターフェイスエンドポイントは、AWS PrivateLink を利用しており、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれを使用せずに、AWS IoT Greengrass API にプライベートアクセスを可能にする技術です。VPC のインスタンスは、パブリック IP アドレスがなくても AWS IoT Greengrass API と通信できます。VPC と AWS IoT Greengrass 間のトラフィックは、Amazon ネットワークを離れません。

各インターフェイスエンドポイントは、サブネット内の 1 つ、または複数の Elastic Network Interface によって表されます。

詳細については、Amazon VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink) 」を参照してください。

トピック

AWS IoT Greengrass VPC エンドポイントに関する考慮事項
AWS IoT Greengrass コントロールプレーン操作用インターフェイス VPC エンドポイントの作成
AWS IoT Greengrass 用の VPC エンドポイントポリシーの作成
VPC で AWS IoT Greengrass コアデバイスを運用する

AWS IoT Greengrass VPC エンドポイントに関する考慮事項

AWS IoT Greengrass のインターフェイス VPC エンドポイントをセットアップする前、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントのプロパティと制限」を確認してください。さらに、次の点について注意してください:

AWS IoT Greengrass は、VPC から実行されるすべてのコントロールプレーン API アクションの呼び出しをサポートしています。コントロールプレーンには、CreateDeploymentとListEffectiveDeploymentsなどの操作が含まれています。コントロールプレーンには、データプレーン操作であるResolveComponentCandidatesと検出などの操作が含まれていません。
AWS IoT Greengrass 用 VPC エンドポイントは、現在 AWS 中国リージョンでサポートされていません。

AWS IoT Greengrass コントロールプレーン操作用インターフェイス VPC エンドポイントの作成

Amazon VPC コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、AWS IoT Greengrass コントロールプレーン用 VPC エンドポイントを作成できます。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」を参照してください。

AWS IoT Greengrass 用の VPC エンドポイントは、以下のサービス名を使用して作成します。

com.amazonaws.region.greengrass

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (AWS IoT Greengrass など) を使用して、greengrass.us-east-1.amazonaws.com への API リクエストを実行できます。プライベート DNS はデフォルトで有効になっています。

詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

AWS IoT Greengrass 用の VPC エンドポイントポリシーの作成

VPC エンドポイントに、AWS IoT Greengrass コントロールプレーン操作へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。

アクションを実行できるプリンシパル。
プリンシパルが実行できるアクション。
プリンシパルがアクションを実行できるリソース。

詳細については、「Amazon VPC ユーザーガイド」の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

例: AWS IoT Greengrass アクション用の VPC エンドポイントポリシー

以下は、AWS IoT Greengrass 用のエンドポイントポリシーの例です。エンドポイントにアタッチされると、このポリシーは、すべてのリソースですべてのプリンシパルに、リストされている AWS IoT Greengrass アクションへのアクセス権を付与します。


{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

VPC で AWS IoT Greengrass コアデバイスを運用する

Greengrass コアデバイスを操作して、パブリックインターネットアクセスなしで VPC でデプロイを実行できます。少なくとも、対応する DNS エイリアスを使用して次の VPC エンドポイントを設定する必要があります。VPC エンドポイントの作成および使用方法の詳細については、Amazon VPC User Guide の「インターフェイスエンドポイントの作成」を参照してください。

注記

DNS レコードを自動的に作成するための VPC 機能が AWS IoT data と AWS IoT 認証情報で無効になっています。これらのエンドポイントに接続するには、プライベート DNS レコードを手動で作成する必要があります。詳細については、「インターフェイスエンドポイントのプライベート DNS」を参照してください。AWS IoT Core VPC 制限の詳細については、「VPC エンドポイントの制約事項」を参照してください。

前提条件

手動のプロビジョニングするステップを使用して AWS IoT Greengrass Core ソフトウェアをインストールする必要があります。詳細については、「手動リソースプロビジョニングを使用して AWS IoT Greengrass Core ソフトウェアをインストールする」を参照してください。

制約事項

VPC での Greengrass コアデバイスの操作は、中国リージョンおよび AWS GovCloud (US) Regions ではサポートされていません。
AWS IoT data および AWS IoT 認証情報プロバイダー VPC エンドポイントの制限の詳細については、「制限」を参照してください。

VPC で動作するように Greengrass コアデバイスをセットアップする

AWS アカウントに AWS IoT エンドポイントを入手して、後で使用するために保存してください。デバイスはこれらのエンドポイントを使用して AWS IoT に接続します。以下の操作を実行します。
1. AWS アカウントの AWS IoT データエンドポイントを取得します。
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
  要求が正常に処理された場合、レスポンスは次の例のようになります。
```
{
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
2. AWS IoT の AWS アカウント認証情報エンドポイントを取得します。
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
  要求が正常に処理された場合、レスポンスは次の例のようになります。
```
{
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
AWS IoT data および AWS IoT 認証情報エンドポイントの Amazon VPC インターフェイスを作成します。
1. VPC エンドポイントコンソールに移動し、左側のメニューの [仮想プライベートクラウド] で [エンドポイント]、[エンドポイントを作成] を選択します。
2. [エンドポイントの作成] ページで、以下の情報を指定します。
  - [Service category] (サービスカテゴリ) には [AWS のサービスs] を選択します。
  - [Service Name] (サービス名) については、キーワード iot を入力して検索します。表示された iot サービスのリストで、エンドポイントを選択します。
    
    AWS IoT Core データプレーンの VPC エンドポイントを作成する場合は、リージョンの AWS IoT Core データプレーン API エンドポイントを選択します。エンドポイントは com.amazonaws.region.iot.data の形式です。
    
    AWS IoT Core 認証情報プロバイダーの VPC エンドポイントを作成する場合は、リージョンの AWS IoT Core 認証情報プロバイダーエンドポイントを選択します。エンドポイントは com.amazonaws.region.iot.credentials の形式です。
    
    注記
    中国リージョンでの AWS IoT Core データプレーンのサービス名は cn.com.amazonaws.region.iot.data の形式になります。AWS IoT Core 認証情報プロバイダーの VPC エンドポイントの作成は、中国リージョンではサポートされていません。
  - [VPC] と [Subnets] (サブネット) には、エンドポイントを作成する VPC と、エンドポイントネットワークを作成するアベイラビリティーゾーン (AZ) を選択します。
  - [Enable DNS name] (DNS 名を有効にする) で、[Enable for this endpoint] (このエンドポイントで有効にする) が選択されていないことを確認してください。AWS IoT Core データプレーンも AWS IoT Core 認証情報プロバイダーもプライベート DNS 名をサポートしていません。
  - [Security group] (セキュリティグループ) には、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
  - オプションで、タグを追加または削除できます。タグとは名前と値のペアで、エンドポイントに関連付けるために使用します。
3. [Create Endpoint] (エンドポイントの作成) をクリックして、VPC エンドポイントを作成します。
AWS PrivateLink エンドポイントを作成した後、エンドポイントの [詳細] タブに、DNS 名のリストが表示されます。このセクションで作成したこれらの DNS 名のいずれかを使用して、プライベートホストゾーンを設定できます。
Amazon S3 エンドポイントを作成します。詳細については、「Create a VPC endpoint for Amazon S3」を参照してください。
AWS 提供の Greengrass コンポーネントを使用している場合は、追加のエンドポイントと設定が必要になる場合があります。エンドポイントの要件を表示するには、AWS が提供するコンポーネントのリストからコンポーネントを選択し、「要件」セクションを参照してください。例えば、ログマネージャーのコンポーネント要件は、このコンポーネントがエンドポイント logs.region.amazonaws.com へのアウトバウンドリクエストを実行できる必要があることを示します。

独自のコンポーネントを使用している場合は、依存関係を確認し、追加のテストを実行して、追加のエンドポイントが必要かどうかを判断する必要がある場合があります。
Greengrass nucleus 設定では、greengrassDataPlaneEndpoint を iotdata に設定する必要があります。詳細については、Greengrass nucleus 設定を参照してください。
us-east-1 リージョンにいる場合は、Greengrass nucleus の設定で設定パラメータ s3EndpointType を REGIONAL に設定します。この機能は、Greengrass nucleus バージョン 2.11.3 以降で使用できます。

例: コンポーネントの設定


{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

次の表は、対応するカスタムプライベート DNS エイリアスに関する情報を示しています。

サービス	VPC エンドポイントサービス名	VPC エンドポイントタイプ	カスタムプライベート DNS エイリアス	メモ
AWS IoT data	`com.amazonaws.region.iot.data`	インターフェイス	`prefix-ats.iot.region.amazonaws.com`	プライベート DNS レコードは、アカウントの AWS IoT data エンドポイントと一致する必要があります: `aws iot describe–endpoint ––endpoint–type iot:Data-ATS`。
AWS IoT 認証情報	`com.amazonaws.region.iot.credentials`	インターフェイス	`prefix.credentials.iot.region.amazonaws.com`	プライベート DNS AWS IoT レコードは、アカウント `aws iot describe–endpoint ––endpoint–type iot:CredentialProvider` 認証情報エンドポイントと一致する必要があります: 。
Amazon S3	`com.amazonaws.region.s3`	インターフェイス		DNS レコードが自動的に作成されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

コードの整合性

セキュリティに関するベストプラクティス