VPC エンドポイントの使用 - AWS Panorama
VPC エンドポイントの作成アプライアンスをプライベートサブネットに接続するサンプル AWS CloudFormation テンプレート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC エンドポイントの使用

インターネットにアクセスできない VPC で作業する場合は、AWS Panorama で使用する VPC エンドポイントを作成できます。VPC エンドポイントを使用すると、プライベートサブネットで実行されているクライアントは、インターネットに接続しなくても AWS サービスに接続できます。

AWS Panorama アプライアンスで使用されるポートとエンドポイントの詳細については、「 AWS Panorama アプライアンスをネットワークに接続します 」を参照してください。

VPC エンドポイントの作成

VPC とAWS Panorama とのプライベート接続を確立するには、VPC エンドポイントを作成します。AWS Panorama を使用するために VPC エンドポイントは必要ありません。VPC エンドポイントを作成する必要があるのは、インターネットにアクセスできない VPC で作業する場合だけです。AWS CLI または SDK が AWS Panorama に接続しようとすると、トラフィックは VPC エンドポイントを経由してルーティングされます。

次の設定を使用して AWS Panorama の VPC エンドポイントを作成します。

  • サービス名 - com.amazonaws.us-west-2.panorama

  • タイプインターフェイス

VPC エンドポイントはサービスの DNS 名を使用して、追加の設定なしで AWS SDK クライアントからのトラフィックを取得します。VPC エンドポイントの使い方の詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント 」を参照してください。

アプライアンスをプライベートサブネットに接続する

AWS Panorama アプライアンスは、AWS Site-to-Site VPN または AWS Direct Connect との AWS プライベート VPN 接続を介してに接続できます。これらのサービスを使用すると、データセンターにまで及ぶプライベートサブネットを作成できます。アプライアンスはプライベートサブネットに接続し、VPC エンドポイントを介して AWS サービスにアクセスします。

Site-to-Site VPN と AWS Direct Connect は、データセンターを Amazon VPC に安全に接続するためのサービスです。Site-to-Site VPN では、市販のネットワークデバイスを使用して接続することができます。 AWS Direct Connect は AWS デバイスを使用して接続します。

ローカルネットワークを VPC 内のプライベートサブネットに接続したら、次のサービスの VPC エンドポイントを作成します。

アプライアンスは AWS Panorama サービスに接続する必要はありません。AWS IoT のメッセージングチャネルを通じて AWS Panorama と通信します。

VPC エンドポイントに加えて、Amazon S3 および AWS IoT には Amazon Route 53 プライベートホストゾーンを使用する必要があります。プライベートホストゾーンは、Amazon S3 Access Points のサブドメインや MQTT トピックを含むサブドメインからのトラフィックを正しい VPC エンドポイントにルーティングします。プライベートホストゾーンの詳細については、「 Amazon Route 53 デベロッパーガイド」の「プライベートホストゾーンの使用」を参照してください。

VPC エンドポイントとプライベートホストゾーンを使用した VPC 設定のサンプルについては、サンプル AWS CloudFormation テンプレート を参照してください。

サンプル AWS CloudFormation テンプレート

このガイドの GitHub レポジトリには、AWS Panorama で使用するリソースを作成するために利用できる AWS CloudFormation テンプレートが用意されています。テンプレートでは、2 つのプライベートサブネット、パブリックサブネット、および VPC エンドポイントを持つ VPC を作成します。VPC のプライベートサブネットを使用して、インターネットから隔離されたリソースをホストできます。パブリックサブネット内のリソースはプライベートリソースと通信できますが、プライベートリソースにはインターネットからアクセスできません。

vpc-endpoint.yml — プライベートサブネット
AWSTemplateFormatVersion: 2010-09-09
Resources:
  vpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.31.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      Tags:
        - Key: Name
          Value: !Ref AWS::StackName
  privateSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref vpc
      AvailabilityZone:
        Fn::Select:
         - 0
         - Fn::GetAZs: ""
      CidrBlock: 172.31.3.0/24
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub  ${AWS::StackName}-subnet-a
  ...

vpc-endpoint.yml テンプレートでは、AWS Panorama 用の VPC エンドポイントを作成する方法を示します。このエンドポイントを使用して、AWS SDK または AWS CLI で AWS Panorama リソースを管理できます。

vpc-endpoint.yml — VPC エンドポイント
  panoramaEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: true
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: "*"
          Action:
            - "panorama:*"
          Resource:
            - "*"

PolicyDocument は、エンドポイントで実行できる API 呼び出しを定義するリソースベースのアクセス権限ポリシーです。ポリシーを変更して、エンドポイントからアクセスできるアクションとリソースを制限できます。詳細については、Amazon VPC ユーザーガイドVPC エンドポイントによるサービスのアクセスコントロールを参照してください。

vpc-appliance.yml テンプレートは、AWS Panorama アプライアンス が使用するサービス用の VPC エンドポイントとプライベートホストゾーンを作成する方法を示しています。

vpc-appliance.yml — プライベートホストゾーンを持つ Amazon S3 Access Points エンドポイント
  s3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: false
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
...
  s3apHostedZone:
    Type: AWS::Route53::HostedZone
    Properties:
      Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
      VPCs: 
        - VPCId: !Ref vpc
          VPCRegion: !Ref AWS::Region
  s3apRecords:
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref s3apHostedZone
      Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
      Type: CNAME
      TTL: 600
      # first DNS entry, split on :, second value
      ResourceRecords: 
      - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

サンプルテンプレートでは、サンプル VPC を使用して Amazon VPC と Route 53 リソースを作成する方法について説明しています。VPC リソースを削除し、サブネット、セキュリティグループ、VPC ID への参照をリソースの ID に置き換えることで、これらをユースケースに適合させることができます。