VPC リソースのリソース設定 - Amazon VPC Lattice
リソース設定のタイプリソースゲートウェイリソース定義プロトコルポート範囲 リソースへのアクセスサービスネットワークタイプとの関連付けサービスネットワークのタイプを使用したリソース設定の共有 AWS RAMモニタリング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC リソースのリソース設定

リソース設定は、他の VPCs およびアカウントのクライアントにアクセスできるようにするリソースまたはリソースのグループを表します。リソース設定を定義することで、他の VPC やアカウントのクライアントから VPCs 内のリソースへのプライベートで安全な、単方向のネットワーク接続を許可できます。リソース設定は、トラフィックを受信するリソースゲートウェイに関連付けられます。別の VPC からリソースにアクセスするには、リソース設定が必要です。

内容

リソース設定のタイプ

リソース設定には、いくつかのタイプがあります。さまざまなタイプは、さまざまな種類のリソースを表すのに役立ちます。タイプは次のとおりです。

  • 単一リソース設定: IP アドレスまたはドメイン名を表します。個別に共有できます。

  • グループリソース設定: 子リソース設定のコレクションです。DNS エンドポイントと IP アドレスエンドポイントのグループを表すために使用できます。

  • 子リソース設定: グループリソース設定のメンバーです。IP アドレスまたはドメイン名を表します。個別に共有することはできません。グループの一部としてのみ共有できます。グループに追加したり、グループから削除したりできます。追加すると、グループにアクセスできるユーザーが自動的にアクセスできるようになります。

  • ARN リソース設定: AWS サービスによってプロビジョニングされるサポートされているリソースタイプを表します。グループと子の関係は自動的に処理されます。

次の図は、単一、子、およびグループのリソース設定を示しています。

単一、子、およびグループのリソース設定。

リソースゲートウェイ

リソース設定は、リソースゲートウェイに関連付けられています。リソースゲートウェイは、リソースがある VPC への進入ポイントとして機能する一連の ENIs です。複数のリソース設定を同じリソースゲートウェイに関連付けることができます。他の VPCs またはアカウントのクライアントが VPC 内のリソースにアクセスすると、リソースはその VPC 内のリソースゲートウェイの IP アドレスからローカルに送信されるトラフィックを確認します。

リソース定義

リソース設定で、次のいずれかの方法でリソースを識別します。

  • Amazon リソースネーム (ARN) 別: Amazon RDS データベースなどの AWS サービスによってプロビジョニングされるサポートされているリソースタイプは、ARN によって識別できます。

  • ドメイン名ターゲット別: パブリックに解決可能な任意のドメイン名を使用できます。ドメイン名が VPC の外部にある IP を指している場合は、VPC に NAT ゲートウェイが必要です。

  • IP アドレス別: IPv4 の場合は、10.0.0.0/8、100.64.0.0/10、172.16.0.0/12、192.168.0.0/16 の範囲からプライベート IP を指定します。IPv6 の場合は、VPC から IP を指定します。パブリック IPs はサポートされていません。

プロトコル

リソース設定を作成するときに、リソースがサポートするプロトコルを定義できます。現在、TCP プロトコルのみがサポートされています。

ポート範囲

リソース設定を作成するときに、リクエストを受け入れるポートを定義できます。他のポートでのクライアントアクセスは許可されません。

リソースへのアクセス

コンシューマーは、VPC エンドポイントまたはサービスネットワークを使用して、VPC から直接リソース設定にアクセスできます。コンシューマーは、VPC から、自分のアカウントにあるリソース設定、または別のアカウントから共有されているリソース設定へのアクセスを有効にすることができます AWS RAM。

  • リソース設定に直接アクセスする

    AWS PrivateLink VPC にリソースタイプ (リソースエンドポイント) の VPC エンドポイントを作成して、VPC からリソース設定にプライベートにアクセスできます。リソースエンドポイントの作成方法の詳細については、「 AWS PrivateLinkユーザーガイド」の「VPC リソースへのアクセス」を参照してください。

  • サービスネットワークを介したリソース設定へのアクセス

    リソース設定をサービスネットワークに関連付け、VPC をサービスネットワークに接続できます。VPC をサービスネットワークに接続するには、関連付けを使用するか、 AWS PrivateLink サービスネットワーク VPC エンドポイントを使用します。

    サービスネットワークの関連付けの詳細については、「VPC Lattice サービスネットワークの関連付けを管理する」を参照してください。

    サービスネットワーク VPC エンドポイントの詳細については、 AWS PrivateLink ユーザーガイド「サービスネットワークへのアクセス」を参照してください。

サービスネットワークタイプとの関連付け

リソース設定をコンシューマーアカウントと共有する場合、例えば Account-B は を介して AWS RAM、リソース VPC エンドポイントまたはサービスネットワークを介してリソース設定に直接アクセスできます。

サービスネットワークを介してリソース設定にアクセスするには、Account-B はリソース設定をサービスネットワークに関連付ける必要があります。サービスネットワークはアカウント間で共有できます。したがって、Account-B はサービスネットワーク (リソース設定が関連付けられている) を Account-C と共有し、Account-C からリソースにアクセスできるようにします。

このような推移的な共有を防ぐために、アカウント間で共有可能なサービスネットワークにリソース設定を追加できないように指定できます。これを指定すると、Account-B は、共有されているサービスネットワーク、または将来別のアカウントと共有できるサービスネットワークにリソース設定を追加できなくなります。

サービスネットワークのタイプ

を介して Account-B などの別のアカウントとリソース設定を共有すると、Account-B は AWS RAM 3 つの方法のいずれかでリソース設定で指定されたリソースにアクセスできます。

  • リソースタイプ (リソース VPC エンドポイント) の VPC エンドポイントの使用。

  • タイプのサービスネットワーク (サービスネットワーク VPC エンドポイント) の VPC エンドポイントを使用する。

  • サービスネットワーク VPC の関連付けの使用。

サービスネットワーク VPC エンドポイントとサービスネットワーク VPC の関連付けの場合、リソース設定は Account-B のサービスネットワークに関連付ける必要があります。 サービスネットワークはアカウント間で共有できます。したがって、Account-B はサービスネットワーク (リソース設定を含む) を Account-C と共有し、Account-C からリソースにアクセスできるようにします。 このような推移的な共有を防ぐために、アカウント間で共有可能なサービスネットワークにリソース設定を追加できないようにすることができます。これを許可しない場合、Account-B は、共有されているサービスネットワークまたは別のアカウントと共有できるサービスネットワークにリソース設定を追加できなくなります。

を使用したリソース設定の共有 AWS RAM

リソース設定は と統合されています AWS Resource Access Manager。を介して、リソース設定を別のアカウントと共有できます AWS RAM。リソース設定を AWS アカウントと共有すると、そのアカウントのクライアントはリソースにプライベートにアクセスできます。でリソース共有を使用してリソース設定を共有できます AWS RAM。

AWS RAM コンソールを使用して、追加されたリソース共有、アクセスできる共有リソース、および共有リソースを持つ AWS アカウントを表示します。詳細については、「 AWS RAM ユーザーガイド」の「自分と共有されているリソース」を参照してください。

リソース設定と同じアカウントの別の VPC からリソースにアクセスするには、リソース設定を共有する必要はありません AWS RAM。

モニタリング

リソース設定でモニタリングログを有効にできます。ログの送信先を選択できます。