翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS IoT Greengrass およびインターフェイス VPC エンドポイント (AWS PrivateLink)
*インターフェイス VPC エンドポイント*を作成することで、VPC と AWS IoT Greengrass コントロールプレーン間のプライベート接続を確立できます。このエンドポイントを使用して、 AWS IoT Greengrass サービス内のコンポーネント、デプロイ、コアデバイスを管理できます。インターフェイスエンドポイントは、インターネットゲートウェイ[AWS PrivateLink](https://aws.amazon.com/privatelink)、NAT デバイス、VPN 接続、または AWS Direct Connect 接続なしで AWS IoT Greengrass APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC 内のインスタンスは、 AWS IoT Greengrass APIs と通信するためにパブリック IP アドレスを必要としません。VPC と の間のトラフィック AWS IoT Greengrass は、Amazon ネットワークを離れません。
各インターフェイスエンドポイントは、サブネット内の 1 つ、または複数の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) によって表されます。
詳細については、「Amazon VPC ユーザーガイド」の「[インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)」を参照してください。
**Topics**
+ [AWS IoT Greengrass VPC エンドポイントに関する考慮事項](#vpc-endpoint-considerations)
+ [AWS IoT Greengrass コントロールプレーンオペレーション用のインターフェイス VPC エンドポイントを作成する](#create-vpc-endpoint-control-plane)
+ [の VPC エンドポイントポリシーの作成 AWS IoT Greengrass](#vpc-endpoint-policy)
+ [VPC で AWS IoT Greengrass コアデバイスを運用する](#vpc-operate-device-vpce)
## AWS IoT Greengrass VPC エンドポイントに関する考慮事項
のインターフェイス VPC エンドポイントを設定する前に AWS IoT Greengrass、*「Amazon VPC ユーザーガイド*」の[「インターフェイスエンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)」を参照してください。さらに、次の点について注意してください:
+ AWS IoT Greengrass は、VPC からのすべてのコントロールプレーン API アクションの呼び出しをサポートしています。コントロールプレーンには、[CreateDeployment](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_CreateDeployment.html) と [ListEffectiveDeployments](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_ListEffectiveDeployments.html) などの操作が含まれています。コントロールプレーンには、データプレーン操作である [ResolveComponentCandidates](device-auth.md#iot-policies) と[検出](greengrass-discover-api.md)などの操作が含まれていません。
+ の VPC エンドポイント AWS IoT Greengrass は現在、 AWS 中国リージョンではサポートされていません。
## AWS IoT Greengrass コントロールプレーンオペレーション用のインターフェイス VPC エンドポイントを作成する
Amazon VPC コンソールまたは AWS Command Line Interface () を使用して AWS IoT Greengrass 、コントロールプレーンの VPC エンドポイントを作成できますAWS CLI。詳細については、「Amazon VPC ユーザーガイド」の[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)を参照してください。
次のサービス名 AWS IoT Greengrass を使用して 用の VPC エンドポイントを作成します。
+ com.amazonaws.*region*.greengrass
エンドポイントのプライベート DNS を有効にすると、 などのリージョンのデフォルト DNS 名 AWS IoT Greengrass を使用して に API リクエストを行うことができます`greengrass.us-east-1.amazonaws.com`。プライベート DNS はデフォルトで有効になっています。
詳細については、「Amazon VPC ユーザーガイド**」の「[インターフェイスエンドポイントを介したサービスへのアクセス](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)」を参照してください。
## の VPC エンドポイントポリシーの作成 AWS IoT Greengrass
VPC エンドポイントに、 AWS IoT Greengrass コントロールプレーン操作へのアクセスを制御するエンドポイントポリシーをアタッチできます。このポリシーでは、以下の情報を指定します。
+ アクションを実行できるプリンシパル。
+ プリンシパルが実行できるアクション。
+ プリンシパルがアクションを実行できるリソース。
詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントによるサービスのアクセスコントロール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
**Example 例: AWS IoT Greengrass アクションの VPC エンドポイントポリシー**
以下は、 のエンドポイントポリシーの例です AWS IoT Greengrass。エンドポイントにアタッチすると、このポリシーは、すべてのリソースのすべてのプリンシパルに対して、リストされた AWS IoT Greengrass アクションへのアクセスを許可します。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"greengrass:CreateDeployment",
"greengrass:ListEffectiveDeployments"
],
"Resource": "*"
}
]
}
```
## VPC で AWS IoT Greengrass コアデバイスを運用する
Greengrass コアデバイスを操作して、パブリックインターネットアクセスなしで VPC でデプロイを実行できます。少なくとも、対応する DNS エイリアスを使用して次の VPC エンドポイントを設定する必要があります。VPC エンドポイントの作成および使用方法の詳細については、*Amazon VPC User Guide* の「[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」を参照してください。
**注記**
DNS レコードを自動的に作成するための VPC 機能は、 AWS IoT data および AWS IoT 認証情報では無効になっています。これらのエンドポイントに接続するには、プライベート DNS レコードを手動で作成する必要があります。詳細については、「[インターフェイスエンドポイントのプライベート DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-private-dns)」を参照してください。 AWS IoT Core VPC の制限の詳細については、[「VPC エンドポイントの制限](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations)」を参照してください。
### 前提条件
+ 手動でプロビジョニングするステップを使用して AWS IoT Greengrass Core ソフトウェアをインストールする必要があります。詳細については、「[手動リソースプロビジョニングを使用して AWS IoT Greengrass Core ソフトウェアをインストールする](manual-installation.md)」を参照してください。
### 制限事項
+ VPC での Greengrass コアデバイスの操作は、中国リージョンおよび AWS GovCloud (US) Regionsではサポートされていません。
+ AWS IoT data および AWS IoT 認証情報プロバイダー VPC エンドポイントの制限の詳細については、[「制限](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations)」を参照してください。
### VPC で動作するように Greengrass コアデバイスをセットアップする
****
1. の AWS IoT エンドポイントを取得し AWS アカウント、後で使用するために保存します。デバイスはこれらのエンドポイントを使用して AWS IoTに接続します。以下の操作を実行します。
1. AWS IoT のデータエンドポイントを取得します AWS アカウント。
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
要求が正常に処理された場合、レスポンスは次の例のようになります。
```
{
"endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
1. の AWS IoT 認証情報エンドポイントを取得します AWS アカウント。
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
要求が正常に処理された場合、レスポンスは次の例のようになります。
```
{
"endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
1. AWS IoT data および AWS IoT 認証情報エンドポイント用の Amazon VPC インターフェイスを作成します。
1. [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **エンドポイント**コンソールに移動し、左側のメニューの **[仮想プライベートクラウド]** で **[エンドポイント]**、**[エンドポイントを作成]** を選択します。
1. **[エンドポイントの作成]** ページで、以下の情報を指定します。
+ **[Service category]** (サービスカテゴリ) には **[AWS のサービス s]** を選択します。
+ [**Service Name**] (サービス名) については、キーワード `iot` を入力して検索します。表示された `iot` サービスのリストで、エンドポイントを選択します。
AWS IoT Core データプレーンの VPC エンドポイントを作成する場合は、リージョンのデータ AWS IoT Core プレーン API エンドポイントを選択します。エンドポイントは `com.amazonaws.region.iot.data` の形式です。
AWS IoT Core 認証情報プロバイダーの VPC エンドポイントを作成する場合は、リージョンの AWS IoT Core 認証情報プロバイダーエンドポイントを選択します。エンドポイントは `com.amazonaws.region.iot.credentials` の形式です。
**注記**
中国リージョン AWS IoT Core のデータプレーンのサービス名は、 の形式になります`cn.com.amazonaws.region.iot.data`。 AWS IoT Core 認証情報プロバイダーの VPC エンドポイントの作成は、中国リージョンではサポートされていません。
+ [**VPC**] と [**Subnets**] (サブネット) には、エンドポイントを作成する VPC と、エンドポイントネットワークを作成するアベイラビリティーゾーン (AZ) を選択します。
+ [**Enable DNS name**] (DNS 名を有効にする) で、[**Enable for this endpoint**] (このエンドポイントで有効にする) が選択されていないことを確認してください。 AWS IoT Core データプレーンも AWS IoT Core 認証情報プロバイダーも、プライベート DNS 名をまだサポートしていません。
+ [**Security group**] (セキュリティグループ) には、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
+ オプションで、タグを追加または削除できます。タグとは名前と値のペアで、エンドポイントに関連付けるために使用します。
1. **[Create Endpoint]** (エンドポイントの作成) をクリックして、VPC エンドポイントを作成します。
1. AWS PrivateLink エンドポイントを作成すると、エンドポイント**の詳細**タブに DNS 名のリストが表示されます。このセクションで作成したこれらの DNS 名のいずれかを使用して、[プライベートホストゾーンを設定できます](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#connect-iot-core-create-phz-lns)。
1. Amazon S3 エンドポイントを作成します。詳細については、「[Create a VPC endpoint for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#s3-creating-vpc)」を参照してください。
1. [AWS提供の Greengrass コンポーネント](https://docs.aws.amazon.com/greengrass/v2/developerguide/public-components.html) を使用している場合は、追加のエンドポイントと設定が必要になる場合があります。エンドポイントの要件を表示するには、 AWSが提供するコンポーネントのリストからコンポーネントを選択し、「要件」セクションを参照してください。例えば、[ログマネージャーのコンポーネント要件](log-manager-component.md#log-manager-component-requirements)は、このコンポーネントがエンドポイント `logs.region.amazonaws.com` へのアウトバウンドリクエストを実行できる必要があることを示します。
独自のコンポーネントを使用している場合は、依存関係を確認し、追加のテストを実行して、追加のエンドポイントが必要かどうかを判断する必要がある場合があります。
1. Greengrass nucleus 設定では、`greengrassDataPlaneEndpoint` を **iotdata** に設定する必要があります。詳細については、[Greengrass nucleus 設定](greengrass-nucleus-component.md#greengrass-nucleus-component-configuration)を参照してください。
1. `us-east-1` リージョンにいる場合は、Greengrass nucleus の設定で設定パラメータ `s3EndpointType` を **REGIONAL** に設定します。この機能は、Greengrass nucleus バージョン 2.11.3 以降で使用できます。
**Example 例: コンポーネントの設定**
```
{
"aws.greengrass.Nucleus": {
"configuration": {
"awsRegion": "us-east-1",
"iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
"iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
"greengrassDataPlaneEndpoint": "iotdata",
"s3EndpointType": "REGIONAL"
...
}
}
}
```
次の表は、対応するカスタムプライベート DNS エイリアスに関する情報を示しています。
| サービス | VPC エンドポイントサービス名 | VPC エンドポイントタイプ | カスタムプライベート DNS エイリアス | 注意事項 |
| --- | --- | --- | --- | --- |
| AWS IoT data | `com.amazonaws.region.iot.data` | インターフェイス | `prefix-ats.iot.region.amazonaws.com` | プライベート DNS レコードは、アカウントの AWS IoT data エンドポイント と一致する必要があります`aws iot describe–endpoint ––endpoint–type iot:Data-ATS`。 |
| AWS IoT 認証情報 | `com.amazonaws.region.iot.credentials` | インターフェイス | `prefix.credentials.iot.region.amazonaws.com` | プライベート DNS AWS IoT レコードは、アカウントの認証情報エンドポイント と一致する必要があります`aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`。 |
| Amazon S3 | `com.amazonaws.region.s3` | インターフェイス | | DNS レコードが自動的に作成されます。 |