翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# インターフェイス VPC エンドポイントでの AWS IoT Device Management セキュアトンネリングの使用
AWS IoT Device Management セキュアトンネリングは、インターフェイス VPC エンドポイントをサポートします。VPC エンドポイントを使用すると、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を必要とせずに、VPC と AWS ネットワーク AWS IoT Secure Tunneling 間のトラフィックを維持できます。
インターフェイス VPC エンドポイントは[AWS PrivateLink](https://docs.aws.amazon.com//vpc/latest/privatelink/what-is-privatelink.html)、プライベート IP アドレスを使用して サービスにプライベートにアクセスできるテクノロジーである を利用しています。詳細については、「 AWS PrivateLink ガイド[」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。
**Topics**
+ [前提条件](#Create-ST-VPC-endpoints-prereq)
+ [VPC エンドポイントを介したトンネル通知の受信](#ST-VPC-Receive-notifications)
+ [セキュアトンネリング用の VPC エンドポイントの作成](#Create-ST-VPC-endpoints-Create)
+ [Proxy Server での VPC エンドポイントポリシーの設定](#Create-ST-VPC-endpoints-Configure)
+ [次の手順](#Create-ST-VPC-endpoints-Next)
## 前提条件
の VPC エンドポイントを作成する前に AWS IoT Secure Tunneling、以下があることを確認します。
+ VPC エンドポイントを作成するために必要なアクセス許可を持つ AWS アカウント。
+ AWS アカウントの VPC。
+ AWS IoT Device Management セキュアトンネリングの概念の理解。
+ VPC エンドポイントポリシーと AWS Identity and Access Management (IAM) に精通していること
## VPC エンドポイントを介したトンネル通知の受信
VPC エンドポイントを介してトンネル通知を受信するために、デバイスは VPC エンドポイントを介して AWS IoT Core データプレーンに接続し、セキュアトンネリング予約 MQTT トピックにサブスクライブできます。
AWS IoT Core データプレーンで VPC エンドポイントを作成して設定する手順については、「 AWS IoT デベロッパーガイド」の[「インターフェイス VPC エンドポイント AWS IoT Core での ](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html)の使用」を参照してください。
## セキュアトンネリング用の VPC エンドポイントの作成
セキュアトンネリングコントロールプレーンとプロキシサーバーの両方の VPC エンドポイントを作成できます。
**セキュアトンネリング用の VPC エンドポイントを作成するには**
1. Amazon VPC [デベロッパーガイドの「インターフェイスエンドポイントの作成](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html)」のステップに従います。
1. **サービス名**で、エンドポイントタイプに基づいて次のいずれかのオプションを選択します。
**コントロールプレーン**
+ 標準: `com.amazonaws..iot.tunneling.api`
+ FIPS (FIPS リージョンで利用可能): `com.amazonaws..iot-fips.tunneling.api`
**プロキシサーバー**
+ 標準: `com.amazonaws..iot.tunneling.data`
+ FIPS (FIPS リージョンで利用可能): `com.amazonaws..iot-fips.tunneling.data`
** を に置き換えます AWS リージョン。例えば、`us-east-1`。
1. ネットワーク要件に従って、VPC エンドポイント作成プロセスの残りのステップを完了します。
## Proxy Server での VPC エンドポイントポリシーの設定
トンネルへの接続を許可するために使用されるクライアントアクセストークンベースの認可に加えて、VPC エンドポイントポリシーを使用して、デバイスが VPC エンドポイントを使用して Secure Tunneling Proxy Server に接続する方法をさらに制限できます。VPC エンドポイントポリシーは IAM のような構文に従い、VPC エンドポイント自体で設定されます。
プロキシサーバー VPC エンドポイントポリシーでサポートされている IAM アクションは のみです`iot:ConnectToTunnel`。
以下は、さまざまな VPC エンドポイントポリシーの例です。
### プロキシサーバー VPC エンドポイントポリシーの例
次の例は、一般的なユースケースの Proxy Server VPC エンドポイントポリシー設定を示しています。
**Example - デフォルトポリシー**
このポリシーにより、VPC 内のデバイスは、任意のアカウントで AWS リージョン エンドポイントが作成されたのと同じ 内の任意の AWS トンネルに接続できます。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
**Example - 特定の AWS アカウントへのアクセスを制限する**
このポリシーにより、VPC エンドポイントは特定の AWS アカウントのトンネルにのみ接続できます。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*",
"arn:aws:iot:us-east-1:444455556666:tunnel/*"
]
}
]
}
```
**Example - トンネルエンドポイントによる接続の制限**
VPC エンドポイントへのアクセスを制限して、デバイスがトンネルの送信元または送信先の端に接続することのみを許可できます。
ソースのみ:
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"iot:ClientMode": "source"
}
}
}
]
}
```
送信先のみ:
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"iot:ClientMode": "destination"
}
}
}
]
}
```
**Example - リソースタグに基づいてアクセスを制限する**
このポリシーにより、VPC エンドポイントは、特定のキーと値のペアでタグ付けされたトンネルにのみ接続できます。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "Production"
}
}
}
]
}
```
**Example - 結合ポリシー条件**
このポリシーは、複数のポリシー要素を組み合わせる方法を示しています。これにより、特定の AWS アカウントの任意のトンネルへの接続が許可されますが、トンネルが `AllowConnectionsThroughPrivateLink`に設定され`true`、クライアントがトンネルの送信先端に接続していないというタグが付けられている場合に限られます。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
}
}
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*"
],
"Condition": {
"StringEquals": {
"iot:ClientMode": "destination"
}
}
}
]
}
```
## 次の手順
の VPC エンドポイントを作成して設定したら AWS IoT Secure Tunneling、次の点を考慮してください。
+ エンドポイントを介してデバイスを接続して、VPC エンドポイント設定をテストします。
+ Amazon CloudWatch メトリクスを使用して VPC エンドポイントの使用状況をモニタリングします。
+ セキュリティ要件に応じて、VPC エンドポイントポリシーを確認して更新します。
AWS IoT Device Management セキュアトンネリングの詳細については、「」を参照してください[AWS IoT Secure Tunneling](https://docs.aws.amazon.com//iot/latest/developerguide/secure-tunneling.html)。